Anche se i numeri dei risultati di una ricerca Google, per verificare la presenza del nuovo script Asprox ngg.js su domini .IT farebbero pensare ad una grande quantita' di pagine che al momento linkano a siti malware (circa 2.000)
in realta' la situazione attuale potrebbe essere di un numero minore rispetto a come indicato da una prima sommaria ricerca Google.
Analizziamo in dettaglio la ricerca con Google della stringa “ ngg,js site:.it “ che corrisponde al noto script frutto di attacchi sql injection a siti italiani.
Per iniziare eliminiamo i duplicati
ottenendo una riduzione drastica del numero di risultati trovati, riguardo a domini .IT, ( circa 150 links )
A questo punto possiamo utilizzare uno script Autoit per filtrare ulteriormente i risultati andando a verificare quali realmente corrispondano a pagina contenente lo script pericoloso ngg.js e non sono invece links a pagine ormai bonificate (come gia' visto in un precedente post)
Come si vede il numero di codici trovati si riduce a meno della meta'.
Data la natura del tipo di attacco Asprox in realta', una parte dei link a ngg.js , si trova si' nella pagina indicizzata ma in parti di codice che non ne permettono l'esecuzione sul pc di chi visita il sito infetto, per cui possiamo ulteriormente filtrare il report del tool Autoit ed ottenere come risultato solo le pagine con reale script pericoloso
Abbiamo quindi solo 22 pagine (non siti in quanto presenti ancora duplicati) che hanno al loro interno lo script che punta a ngg.js.
Sembra quindi che , in riferimento a ngg.js solo una bassa percentuale dei piu' di 2.000 risultati iniziali che compaiono nella ricerca Goolge rappresenti un reale pericolo per chi visita un sito web colpito.
Inoltre , esaminando il report, si nota che si stratta dei 'soliti' nomi di dominio conosciuti da tempo, cioe' di quei siti che non sono ancora stati bonificati e le loro vulnerabilita' risolte , continuando cosi' a ricevere nuovi attacchi.
Chiaramente se prendiamo in considerazione tutti i risultati forniti da Google in riferimento a contenuti di scripts che linkano a ngg.js i numeri sono molto diversi ma non si tratta piu' di una situazione reale ma piuttosto di una analisi 'storica' degli attacchi da parte di Asprox botnet ai siti italiani.
Ricordo che si tratta in ogni caso di dati sempre parzialmente corretti in quanto da questa analisi numerica rimangono comunque esclusi quei siti .IT che potrebbero essere stati colpiti attualmente e non ancora presenti nei risultati del noto motore di ricerca ed anche alcuni siti che Google potrebbe non aver ancora incluso nel suo database.
Edgar
in realta' la situazione attuale potrebbe essere di un numero minore rispetto a come indicato da una prima sommaria ricerca Google.
Analizziamo in dettaglio la ricerca con Google della stringa “ ngg,js site:.it “ che corrisponde al noto script frutto di attacchi sql injection a siti italiani.
Per iniziare eliminiamo i duplicati
ottenendo una riduzione drastica del numero di risultati trovati, riguardo a domini .IT, ( circa 150 links )
A questo punto possiamo utilizzare uno script Autoit per filtrare ulteriormente i risultati andando a verificare quali realmente corrispondano a pagina contenente lo script pericoloso ngg.js e non sono invece links a pagine ormai bonificate (come gia' visto in un precedente post)
Come si vede il numero di codici trovati si riduce a meno della meta'.
Data la natura del tipo di attacco Asprox in realta', una parte dei link a ngg.js , si trova si' nella pagina indicizzata ma in parti di codice che non ne permettono l'esecuzione sul pc di chi visita il sito infetto, per cui possiamo ulteriormente filtrare il report del tool Autoit ed ottenere come risultato solo le pagine con reale script pericoloso
Abbiamo quindi solo 22 pagine (non siti in quanto presenti ancora duplicati) che hanno al loro interno lo script che punta a ngg.js.
Sembra quindi che , in riferimento a ngg.js solo una bassa percentuale dei piu' di 2.000 risultati iniziali che compaiono nella ricerca Goolge rappresenti un reale pericolo per chi visita un sito web colpito.
Inoltre , esaminando il report, si nota che si stratta dei 'soliti' nomi di dominio conosciuti da tempo, cioe' di quei siti che non sono ancora stati bonificati e le loro vulnerabilita' risolte , continuando cosi' a ricevere nuovi attacchi.
Chiaramente se prendiamo in considerazione tutti i risultati forniti da Google in riferimento a contenuti di scripts che linkano a ngg.js i numeri sono molto diversi ma non si tratta piu' di una situazione reale ma piuttosto di una analisi 'storica' degli attacchi da parte di Asprox botnet ai siti italiani.
Ricordo che si tratta in ogni caso di dati sempre parzialmente corretti in quanto da questa analisi numerica rimangono comunque esclusi quei siti .IT che potrebbero essere stati colpiti attualmente e non ancora presenti nei risultati del noto motore di ricerca ed anche alcuni siti che Google potrebbe non aver ancora incluso nel suo database.
Edgar
Nessun commento:
Posta un commento