Si tratta di casi limite che dimostrano quanto sia esteso il problema degli script conseguenza degli attacchi a migliaia di pagine anche su domini .IT
C'e' da evidenziare due importanti punti che, a mio avviso, rendono questi casi abbastanza pericolosi:
Il primo e' che i domini asprox richiamati dagli script sono tuttora ben attivi e linkano a malware ed exploit attivi
Il secondo che questi due casi presi in esame trattano di siti web aggiornati, si presume anche recentemente e quindi e' quantomeno singolare. che chi li gestisce non sia a conoscenza del problema e chiaramente cerchi di risolverlo.
Questa una delle pagine colpite appartenente ad un Assessorato alla Cultura di nota provincia italiana.
Sono presenti appuntamenti per eventi da svolgersi nei prossimi mesi e quindi si presume che il sito sia aggiornato frequentemente.
E questo un parziale estratto del codice sorgente
ecco lo zoom
Come si vede gli script pericolosi sono in quantita' tale da mandare quasi in blocco l'editor di testo del browser che visualizza il codice sorgente.
In pratica il report del tool visualizza piu' di 30 pagine (ma probabilmente sono di piu' ) con un numero di scripts che varia dai 3000 ai quasi 6000 codici (per singola pagina)
Il secondo caso , per certi versi ancora piu' preoccupante in quanto sito di banca, presenta la singolarita' ad esempio di una pagina di login, per accedere a servizi o comunque dati riservati, che incorpora diversi scripts pericolosi e, come ricordo ancora, che linkano a domini Asprox tuttora attivi e pericolosi.
Questa la home del sito della banca con la presenza di scripts
ed anche
Un report sul sito eseguito tramite il tool riporta che praticamente tutto il sito presenta le pagine compromesse
Chiaramente al momento il problema e' limitato alla esecuzione degli script che potrebbero reindirizzare chi visita il sito (pagina di login compresa) su pagine con malware, e quindi non abbiamo problemi per la sicurezza dei dati di chi effettua il login, ma il tutto e' comunque segno di possibili vulnerabilita' contenute nel codice delle pagine esaminate e sfruttabili in futuro.
Concludo con i numeri generati dal report per la totalita' dei siti linkati dal motore di ricerca ed il cui codice sorgente e' stato opportunamente filtrato per evitare di conteggiare anche le pagine gia' bonificate
Come si vede sul totale di pagine linkate dal motore di ricerca e dai codici sorgente scaricati e filtrati solo per quelli che presentano gli scripts otteniamo la notevole cifra di circa 200.000 (duecentomila) codici java e questo solo considerando alcuni dei nomi di dominio Asproxsu su pagine .IT
C'e' da evidenziare due importanti punti che, a mio avviso, rendono questi casi abbastanza pericolosi:
Il primo e' che i domini asprox richiamati dagli script sono tuttora ben attivi e linkano a malware ed exploit attivi
Il secondo che questi due casi presi in esame trattano di siti web aggiornati, si presume anche recentemente e quindi e' quantomeno singolare. che chi li gestisce non sia a conoscenza del problema e chiaramente cerchi di risolverlo.
Questa una delle pagine colpite appartenente ad un Assessorato alla Cultura di nota provincia italiana.
Sono presenti appuntamenti per eventi da svolgersi nei prossimi mesi e quindi si presume che il sito sia aggiornato frequentemente.
E questo un parziale estratto del codice sorgente
ecco lo zoom
Come si vede gli script pericolosi sono in quantita' tale da mandare quasi in blocco l'editor di testo del browser che visualizza il codice sorgente.
In pratica il report del tool visualizza piu' di 30 pagine (ma probabilmente sono di piu' ) con un numero di scripts che varia dai 3000 ai quasi 6000 codici (per singola pagina)
Il secondo caso , per certi versi ancora piu' preoccupante in quanto sito di banca, presenta la singolarita' ad esempio di una pagina di login, per accedere a servizi o comunque dati riservati, che incorpora diversi scripts pericolosi e, come ricordo ancora, che linkano a domini Asprox tuttora attivi e pericolosi.
Questa la home del sito della banca con la presenza di scripts
ed anche
Un report sul sito eseguito tramite il tool riporta che praticamente tutto il sito presenta le pagine compromesse
Chiaramente al momento il problema e' limitato alla esecuzione degli script che potrebbero reindirizzare chi visita il sito (pagina di login compresa) su pagine con malware, e quindi non abbiamo problemi per la sicurezza dei dati di chi effettua il login, ma il tutto e' comunque segno di possibili vulnerabilita' contenute nel codice delle pagine esaminate e sfruttabili in futuro.
Concludo con i numeri generati dal report per la totalita' dei siti linkati dal motore di ricerca ed il cui codice sorgente e' stato opportunamente filtrato per evitare di conteggiare anche le pagine gia' bonificate
Come si vede sul totale di pagine linkate dal motore di ricerca e dai codici sorgente scaricati e filtrati solo per quelli che presentano gli scripts otteniamo la notevole cifra di circa 200.000 (duecentomila) codici java e questo solo considerando alcuni dei nomi di dominio Asproxsu su pagine .IT
Edgar
3 commenti:
Access to the data has been denied!
Warning: A virus or unwanted program has been found in the HTTP Data.
Requested URL: http://www.roiagencie.com/adserver/ad/bra/7817a976f911e78abb2e7eee64447a529202f6b246396f4fff875d97120c7f7323557aac55db2a797a391a80483acf17bcbdfblbbh4d26a2620badbcb1f92703b7e1433ff84aa6f6f9cf48ae5ea3b3b85f3064663331db4977cc0a1ddcb348160ca0f2dc06.html
Information: Contains detection pattern of the HTML script virus HTML/Infected.WebPage.Gen
Generated by AntiVir WebGuard 8.0.13.0, AVE 8.1.0.55, VDF 7.0.4.196
questo è l'avviso che ottengo andando sul sito di
http://tescaro.blogspot.com/
si è aperto un popup con dentro l'avviso, probabilmente una pagina pubblicitaria contenente qualche codice nocivo o che antivir reputa nocivo
il link pubblicitario porta ad un sito chiamato
http://it.cashbacky.com/
ma adesso antivir non strilla quindi forse era un falso positivo
Stavo proprio per scriverti a proposito del link che sembrerebbe un redirect che punta a pubblicita'
Comunque un problema simile era stato segnalato sul forum hwupgrade
http://www.hwupgrade.it/forum/showthread.php?t=1514684&page=153
Scipts strani sul blog non ce ne sono ma ci sono comunque parecchi links e quindi e' probabile che uno di questi linki a qualche sito che poi redirige su pubblicita'
Posta un commento