Questo il whois che punta a server .IT
e questo il report che filtra i sources dei siti sull''IP in questione che presentano la 'modifica'.(l'estensione .txt che segue l'url nel report in questo caso e' aggiunta da webscanner)
Simile sorte per altri siti appartenenti a diverso IP ed hoster che presentano invece un file di testo inserito nel sito
Si tratta di un file .txt incluso nel sito che, in molti casi, rimane online per diverso tempo prima che chi amministra il sito lo rilevi e lo rimuova.
questo un whois
e questo un report dei siti colpiti
Ancora una volta , anche se in generale, questi attacchi sono solo dimostrativi e non prevedono links a malware o a siti pericolosi, l'hacking di un sito rivela la sua vulnerabilita' o quella del server che lo ospita, che potrebbe essere sfruttata in futuro per azioni ben piu' pericolose. (inserimento di siti di phishing, links automatici a malware, ecc...)Edgar
4 commenti:
salve
nelle statistiche shynistat di accesso al mio blog c'è un utente che ha raggiunto il mio blog partendo da questo sito
http://akvarisztikalap.freeweb.hu/haferduszlaz.html
ci puoi dare un'occhiata? ho visto che c'è del codice javascript oscurato
inoltre un blogger che ci è andato con firefox mi ha detto che firefox blocca il sito come malevolo
Ho deoffuscato lo script che restituisce a sua volta uno script offuscato che deoffuscato presenta un codice che e' offuscato usando "regular expression"
Ad esempio ,host:'3QtQr)aVfQfQ.)cQnF'.replace(/[Q\)\[FV]/g, ''),
dove l'offuscamento e' attuato sostituendo alcuni caratteri presenti nell'espressione regolare
Come si vede punta a 3traff.cn
In ogni caso penso sia un exploit o qualcosa del genere
Ne scrivono qui
http://zairon.wordpress.com/2008/05/19/regular-expressions-used-to-obfuscate-javascript-code/
e qui
http://xblog.xman.org/articles/search?q=exploit
This Account Has Been Suspended For Violation Of Hosting Terms And Conditions
questo è quello che è scritto sul sito 3traff.cn
potrebbe essere un finto avviso ed il sito essere ancora attivo
E' probabile, si tratta di una tecnica molto usata.
In ogni caso non si capisce bene cosa sia questo sito in quanto ad esempio mcaffe site advisor lo marcava come sicuro.....
Gli unici riferimenti in rete sono su siti russi ... al riguardo dello script
Comunque per chi volesse divertirsi a capire cosa fa' o messo il file txt della decodifica degli script in sequenza qui...
http://www.mediafire.com/file/tlhmettit4d/scripts akvarisztikalap web .zip
Posta un commento