venerdì 29 agosto 2008

Injection attacks from www0(dot)douhunqn(dot)cn

Anche se sono passati ormai mesi dalle prime massicce ondate di attacchi di sql injection anche ai danni di siti italiani rimangono sempre attive alcune pagine su dominio .CN che continuano a linkare iframe con vari exploits.

Esaminando la situazione attuale per quanto si riferisce a pagine .IT colpite da sql injection ed ancora compromesse e' sempre possibile trovarne in rete una certa quantita'

Ad esempio

oppure
Al momento uno dei siti maggiormente attivi e' linkato dallo script w.js di cui vediamo il codice

che punta a questa pagina su douhunqn(dot)cn

che come vediamo propone diversi iframes con una serie di exploits per differenti softwares (office, yahoo, ecc...)
Questo un whois della pagina contenente gli exploits

Fortunatamente la maggior parte degli scripts inseriti nei siti colpiti risulta al momento, non attiva visto che la loro collocazione all'interno del codice delle pagine non ne permette l'esecuzione da parte del browser ma altera solo la visualizzazione del layout della pagina come visto nei due esempi precedenti.

Edgar

Nessun commento: