domenica 5 ottobre 2008

Hacking quotidiano 5 ottobre 08

Un rilevante numero di siti su IP di hoster italiano presentano questa mattina (ora Thai) la homepage sostituita da questo breve messaggio testuale

Questo il whois che punta a server .IT

e questo il report che filtra i sources dei siti sull''IP in questione che presentano la 'modifica'.(l'estensione .txt che segue l'url nel report in questo caso e' aggiunta da webscanner)


Simile sorte per altri siti appartenenti a diverso IP ed hoster che presentano invece un file di testo inserito nel sito
Si tratta di un file .txt incluso nel sito che, in molti casi, rimane online per diverso tempo prima che chi amministra il sito lo rilevi e lo rimuova.

questo un whois

e questo un report dei siti colpiti

Ancora una volta , anche se in generale, questi attacchi sono solo dimostrativi e non prevedono links a malware o a siti pericolosi, l'hacking di un sito rivela la sua vulnerabilita' o quella del server che lo ospita, che potrebbe essere sfruttata in futuro per azioni ben piu' pericolose. (inserimento di siti di phishing, links automatici a malware, ecc...)

Edgar

4 commenti:

Sbronzo di Riace ha detto...

salve

nelle statistiche shynistat di accesso al mio blog c'è un utente che ha raggiunto il mio blog partendo da questo sito

http://akvarisztikalap.freeweb.hu/haferduszlaz.html

ci puoi dare un'occhiata? ho visto che c'è del codice javascript oscurato

inoltre un blogger che ci è andato con firefox mi ha detto che firefox blocca il sito come malevolo

Edgar Bangkok ha detto...

Ho deoffuscato lo script che restituisce a sua volta uno script offuscato che deoffuscato presenta un codice che e' offuscato usando "regular expression"
Ad esempio ,host:'3QtQr)aVfQfQ.)cQnF'.replace(/[Q\)\[FV]/g, ''),
dove l'offuscamento e' attuato sostituendo alcuni caratteri presenti nell'espressione regolare
Come si vede punta a 3traff.cn
In ogni caso penso sia un exploit o qualcosa del genere

Ne scrivono qui
http://zairon.wordpress.com/2008/05/19/regular-expressions-used-to-obfuscate-javascript-code/

e qui

http://xblog.xman.org/articles/search?q=exploit

Sbronzo di Riace ha detto...

This Account Has Been Suspended For Violation Of Hosting Terms And Conditions

questo è quello che è scritto sul sito 3traff.cn

potrebbe essere un finto avviso ed il sito essere ancora attivo

Edgar Bangkok ha detto...

E' probabile, si tratta di una tecnica molto usata.
In ogni caso non si capisce bene cosa sia questo sito in quanto ad esempio mcaffe site advisor lo marcava come sicuro.....
Gli unici riferimenti in rete sono su siti russi ... al riguardo dello script
Comunque per chi volesse divertirsi a capire cosa fa' o messo il file txt della decodifica degli script in sequenza qui...

http://www.mediafire.com/file/tlhmettit4d/scripts akvarisztikalap web .zip