martedì 12 agosto 2008

Un folder '/tmp' poco temporaneo

Recentemente ho descritto in un post l'uso del folders /upload/ per ospitare links a malware all'interno di 'normali' siti web .IT.
Questa volta prendiamo in considerazione il folder /tmp presente molto spesso nella struttura di sito web.
Come dice il nome dovrebbe ospitare files in maniera temporanea ma non e' sempre cosi', anzi proprio il fatto di essere un folder 'di servizio' lo rende ideale per hostare in maniera nascosta links a codici malevoli che puntano a siti con malware
Si tratta di solito di links a false pagine di filmati porno e relativo falso codec malware ma ultimamente se ne trova anche una buona percentuale che linka a falsi programmi antivirus.

Quasi sempre poi, per evitare di essere facilmente trovati, i codici nascosti, si attivano solo se richiamati direttamente dalla ricerca in rete mentre un link diretto non attiva il reindirizzamento sulla pagina malware.

Vediamo alcuni esempi attualmente attivi in rete e riferiti siti su dominio .IT

Questa la homepage di un sito di albergo in provincia di Genova

che oltre alle pagine del sito ospita un folder temporaneo (/tmp/) a cui puntano molti links tutti indicizzati dal motore di ricerca

Ecco un report parziale

Seguendo uno di questi link abbiamo il caricamento di un nota pagina che simula youtube e distribuisce malware attraverso un falso setup di player video

questo un whois del falso sito di filmati

e questo un whois del server che ospita l'eseguibile malware
Si tratta di una variante Zlob che come al solito e' scarsamente riconosciuta dai softwares AV

Una situazione abbastanza particolare la troviamo in questo sito di 'parrocchia' italiana

che suo malgrado ospita all'interno pagine nascoste con links a falso motore di ricerca di genere porno

Il links e' possibile attraverso una pagina intermedia ospitata in maniera nascosta sul sito

sito, di cui vediamo un dettaglio della struttura interessata al problema.


Per finire un altro folder /tmp/, di cui ho gia' scritto in passato ed anche tentato di segnalare il problema, ma che continua indisturbato a funzionare come deposito di links a pagine di dubbia affidabilita' (ultimamente sembra che molti links redirigano su sito di ricerca russo)

La quantita' di pagine ospitate e', come si vede, veramente importante.

Ecco il folder /moduli/

che come subfolder contiene quello denominato /tmp

con una grande quantita di subfolder a sua volta contenti decine di pagine

con relativo script



Edgar

(continua)

Nessun commento: