lunedì 2 giugno 2008

Dota11(dot)cn (aggiornamento)

Da qualche settimana stiamo assistendo, tra i centinaia di casi di pagine web compromesse dopo l'attacco de del 10 maggio, alla particolare situazione del sito del Comune di Grugliasco (TO) che passa continuamente tra stati di compromissione totale (nuovamente dal 1 giugno) a momenti in cui la situazione ritorna normale ed il sito bonificato.

Gli scripts presenti sono sempre gli stessi gia' visti anche su parecchi siti italiani colpiti da un attacco che sfrutta vulnerabilita' detta di SQL injection.

Al momento di scrivere il post , il sito e' nuovamente colpito e le pagine presentano anche sul layout visibile lo script che ancora una volta linka a dota11(dot)cn, attualmente attivo, e che reindirizza a sua volta ad altre pagine con exploits.


Un po di cronologia su quello che e' accaduto al sito del comune:

Rispetto alla volta precedente l'aumento degli scripts e' dovuto al fatto che solo il forum da solo ne hosta circa 5800 e questo si spiega con la natura stessa dell'attacco che va probabilmente a modificare il database dei post inserendo per ognuno lo script pericoloso e generando quindi una quantita' elevata di riferimenti in ricerca.

A questo punto sembra evidente che :
1) gli attacchi stanno continuando anche dopo il primo eseguito il 10 maggio e sembrerebbero tuttora in corso (vista la struttura dello script la fonte potrebbe sempre essere la stessa che tenta di compromettere nuovamente i siti gia' colpiti)
2) gli sforzi per bonificare e rendere immune dagli attacchi le pagine colpite in questo caso non sembrerebbero dare risultati positivi, pare cioe' che al momento si riesca solo a “curare” i sintomi ma non le cause del problema e quindi lo stesso si ripresenti ad ogni nuovo attacco.

Edgar

2 commenti:

Juninho85 ha detto...

ciao edgar...c'è stato un tentativo di hacking su datasport.it;portale italiano sullo sport.
In particolare è in evidenza la scritta "hacked by RedRolix sari_seytan And LupuS Rebel Group NOWAR" sotto diverse news.
Ho già provveduto a segnalare la cosa...non sembrano aver fatto ulteriori modifiche per ora...che non sia il presagio per qualcosa di più importante...

Edgar Bangkok ha detto...

Grazie della segnalazione. :)
Ho dato una occhiata e in effetti specialmente datasport riporta i messaggi di hacking
Mi pare sia un 'normale' attacco solo con scritte dimostrative ma comunque che dimostra le vulnerabilita' presenti e che potrebbero essere usate per scopi piu' dannosi.
Ho scritto 2 righe al riguardo e fatto una scansione parziale di datasport con il tool per verificare il numero di pagine colpite.