In premessa due note importanti.(da leggere con attenzione)
La prima riguarda il report generato da Webscanner che data la complessita' della scansione non e' da escludere presenti qualche falso positivo cosi' come potrebbe non evidenziare qualche sito che comunque abbia il problema di inclusione di javascript malevolo.
La seconda piu' importante e' che gli script tuttora attivi presenti nei siti colpiti redirigono su siti (whois Turchia, Russia, Ucraina) che hanno al loro interno exploits creati in particolare per Internet Explorer.
Consiglio chi volesse visitare i siti elencati di utilizzare Firefox con Noscript attivo, possibilmente in SandBoxie e ancora meglio eseguito su macchina virtuale onde evitare spiacevoli problemi.
Ecco un aggiornamento con un report eseguito sulla quasi totalita' dei siti hostati all'IP 213.205.40.169 su server Tiscali
Il report e' datato 8 novembre 2008 alle ore 2 AM (italian time)
La prima riguarda il report generato da Webscanner che data la complessita' della scansione non e' da escludere presenti qualche falso positivo cosi' come potrebbe non evidenziare qualche sito che comunque abbia il problema di inclusione di javascript malevolo.
La seconda piu' importante e' che gli script tuttora attivi presenti nei siti colpiti redirigono su siti (whois Turchia, Russia, Ucraina) che hanno al loro interno exploits creati in particolare per Internet Explorer.
Consiglio chi volesse visitare i siti elencati di utilizzare Firefox con Noscript attivo, possibilmente in SandBoxie e ancora meglio eseguito su macchina virtuale onde evitare spiacevoli problemi.
Ecco un aggiornamento con un report eseguito sulla quasi totalita' dei siti hostati all'IP 213.205.40.169 su server Tiscali
Il report e' datato 8 novembre 2008 alle ore 2 AM (italian time)
e mostra che al momento esistono 135 siti compromessi.Questo l'elenco completo dei siti, creato da webscanner al momento di scrivere il post, che presentano inserito nel codice lo script java malevolo
(n.b. L'estensione (dot)txt alla URL e' aggiunta in automatico da Webscanner al momento di salvare il source della homepage.)
| File Name | Match | File Size |
| www(dot)23msim(dot)com(dot)txt | 1 | 12039 |
| www(dot)2ccarsrl(dot)com(dot)txt | 1 | 16607 |
| www(dot)500europaclub(dot)it(dot)txt | 1 | 17489 |
| www(dot)500racingpoint(dot)it(dot)txt | 1 | 13918 |
| www(dot)a0audio(dot)com(dot)txt | 1 | 4329 |
| www(dot)abbaziafiastramonaci(dot)it(dot)txt | 1 | 16173 |
| www(dot)abruzzonaturale(dot)it(dot)txt | 1 | 20512 |
| www(dot)accaddeoggi(dot)it(dot)txt | 1 | 2302 |
| www(dot)adipa(dot)org(dot)txt | 1 | 32655 |
| www(dot)agopuntura(dot)it(dot)txt | 1 | 2109 |
| www(dot)aiabari(dot)it(dot)txt | 1 | 8638 |
| www(dot)alp-info(dot)it(dot)txt | 1 | 581 |
| www(dot)amcspa(dot)it(dot)txt | 1 | 1293 |
| www(dot)amicihanbury(dot)com(dot)txt | 1 | 6225 |
| www(dot)andreolesi(dot)com(dot)txt | 1 | 23658 |
| www(dot)angsalombardia(dot)it(dot)txt | 1 | 21407 |
| www(dot)angsaonlus(dot)org(dot)txt | 1 | 3122 |
| www(dot)antincendio(dot)it(dot)txt | 1 | 30592 |
| www(dot)aracongressi(dot)it(dot)txt | 1 | 20322 |
| www(dot)architectsonline(dot)it(dot)txt | 1 | 11956 |
| www(dot)architetturaamica(dot)it(dot)txt | 1 | 105437 |
| www(dot)barbagiamandrolisai(dot)it(dot)txt | 1 | 13132 |
| www(dot)brigatafolgore(dot)com(dot)txt | 1 | 4195 |
| www(dot)caputfrigoris(dot)it(dot)txt | 1 | 23615 |
| www(dot)cda(dot)it(dot)txt | 1 | 39428 |
| www(dot)consortveneto(dot)it(dot)txt | 1 | 1969 |
| www(dot)cosenzacalcio(dot)com(dot)txt | 1 | 5100 |
| www(dot)dad-records(dot)com(dot)txt | 1 | 628 |
| www(dot)dissonanze(dot)org(dot)txt | 1 | 2010 |
| www(dot)edizionimaestrale(dot)com(dot)txt | 1 | 26343 |
| www(dot)eivamos(dot)com(dot)txt | 1 | 10617 |
| www(dot)evaluna(dot)it(dot)txt | 1 | 1603 |
| www(dot)favolare(dot)com(dot)txt | 1 | 550 |
| www(dot)fitnessweb(dot)it(dot)txt | 1 | 85892 |
| www(dot)fivol(dot)it(dot)txt | 1 | 1301 |
| www(dot)flash-games(dot)it(dot)txt | 1 | 6672 |
| www(dot)forastiere(dot)it(dot)txt | 1 | 3157 |
| www(dot)forzanini(dot)it(dot)txt | 1 | 22800 |
| www(dot)forzapisa(dot)it(dot)txt | 1 | 2060 |
| www(dot)fratellosole(dot)it(dot)txt | 1 | 2184 |
| www(dot)gabriele-pezzini(dot)com(dot)txt | 1 | 5497 |
| www(dot)gabrielepicco(dot)com(dot)txt | 1 | 868 |
| www(dot)galileipe(dot)it(dot)txt | 1 | 1318 |
| www(dot)galleriatondinelli(dot)it(dot)txt | 1 | 13176 |
| www(dot)gambas(dot)it(dot)txt | 2 | 2490 |
| www(dot)gianoziaorientale(dot)it(dot)txt | 1 | 3749 |
| www(dot)gigighirotti(dot)it(dot)txt | 1 | 3701 |
| www(dot)giovaniartisti(dot)it(dot)txt | 1 | 799 |
| www(dot)girovaghi(dot)it(dot)txt | 1 | 29318 |
| www(dot)giuliodevita(dot)it(dot)txt | 1 | 3979 |
| www(dot)golfandfood(dot)it(dot)txt | 1 | 1225 |
| www(dot)gonfiabiligamespark(dot)it(dot)txt | 1 | 9886 |
| www(dot)gorgodeldrago(dot)it(dot)txt | 1 | 18642 |
| www(dot)goticatoscana(dot)it(dot)txt | 1 | 21795 |
| www(dot)gpling(dot)org(dot)txt | 1 | 2525 |
| www(dot)gramola(dot)it(dot)txt | 1 | 38910 |
| www(dot)grandezzemeraviglie(dot)it(dot)txt | 1 | 4419 |
| www(dot)greenwaysitalia(dot)it(dot)txt | 1 | 6340 |
| www(dot)gruppopesce(dot)org(dot)txt | 1 | 1546 |
| www(dot)grupposeguimi(dot)org(dot)txt | 1 | 7479 |
| www(dot)ighiottoni(dot)it(dot)txt | 1 | 1127 |
| www(dot)ilavorifemminili(dot)it(dot)txt | 1 | 681 |
| www(dot)laboratorio(dot)it(dot)txt | 1 | 53189 |
| www(dot)lacaletta(dot)it(dot)txt | 1 | 5826 |
| www(dot)libreriababeleroma(dot)it(dot)txt | 1 | 1385 |
| www(dot)librizziacolori(dot)it(dot)txt | 1 | 2157 |
| www(dot)liceocotta(dot)it(dot)txt | 1 | 895 |
| www(dot)ligal(dot)it(dot)txt | 1 | 64777 |
| www(dot)like(dot)it(dot)txt | 1 | 9835 |
| www(dot)loasihotel(dot)it(dot)txt | 1 | 34473 |
| www(dot)lottoscientifico(dot)com(dot)txt | 1 | 3853 |
| www(dot)marad(dot)it(dot)txt | 1 | 4525 |
| www(dot)marcoguizzardi(dot)it(dot)txt | 1 | 4642 |
| www(dot)mariomalagrino(dot)com(dot)txt | 1 | 2914 |
| www(dot)massenzioarte(dot)it(dot)txt | 1 | 934 |
| www(dot)medicinafetale-aouc(dot)it(dot)txt | 1 | 5821 |
| www(dot)messaggeri(dot)it(dot)txt | 1 | 10719 |
| www(dot)messaggishiatsu(dot)com(dot)txt | 1 | 860 |
| www(dot)metropolisarea(dot)it(dot)txt | 1 | 926 |
| www(dot)mgnep(dot)com(dot)txt | 1 | 28889 |
| www(dot)miti3000(dot)org(dot)txt | 1 | 1073 |
| www(dot)modellismonavale(dot)com(dot)txt | 1 | 9923 |
| www(dot)molfettanet(dot)com(dot)txt | 1 | 1704 |
| www(dot)museicivicialbano(dot)it(dot)txt | 1 | 1948 |
| www(dot)musinsociety(dot)com(dot)txt | 1 | 4500 |
| www(dot)myair(dot)it(dot)txt | 1 | 15259 |
| www(dot)nami(dot)it(dot)txt | 1 | 1696 |
| www(dot)netmagic(dot)it(dot)txt | 1 | 25527 |
| www(dot)nevi(dot)it(dot)txt | 1 | 872 |
| www(dot)ortopediaetraumatologia(dot)it(dot)txt | 1 | 6952 |
| www(dot)photogallery(dot)it(dot)txt | 1 | 4281 |
| www(dot)piagadadecubito(dot)it(dot)txt | 1 | 61154 |
| www(dot)pianetafinanza(dot)it(dot)txt | 1 | 21997 |
| www(dot)piazza-grande(dot)it(dot)txt | 1 | 2657 |
| www(dot)porcellino(dot)net(dot)txt | 1 | 841 |
| www(dot)poro(dot)it(dot)txt | 1 | 1392 |
| www(dot)precipizirelativi(dot)it(dot)txt | 1 | 1564 |
| www(dot)prevenia(dot)com(dot)txt | 1 | 11200 |
| www(dot)rastir(dot)com(dot)txt | 1 | 57299 |
| www(dot)raulcremona(dot)it(dot)txt | 1 | 2105 |
| www(dot)rcrussia(dot)it(dot)txt | 1 | 2663 |
| www(dot)reggiadicaserta(dot)org(dot)txt | 1 | 1705 |
| www(dot)registroitalianoporsche356(dot)it(dot)txt | 1 | 61494 |
| www(dot)residenzacellini(dot)it(dot)txt | 1 | 5730 |
| www(dot)riccibitti(dot)com(dot)txt | 1 | 17289 |
| www(dot)rossi-termocamini(dot)it(dot)txt | 1 | 9821 |
| www(dot)rottweiler(dot)it(dot)txt | 1 | 5621 |
| www(dot)santumile(dot)it(dot)txt | 1 | 6931 |
| www(dot)studiox(dot)it(dot)txt | 1 | 23499 |
| www(dot)sunnyisland(dot)info(dot)txt | 1 | 15819 |
| www(dot)suorebambinogesu(dot)it(dot)txt | 1 | 1126 |
| www(dot)superenalottoitalia(dot)com(dot)txt | 1 | 3584 |
| www(dot)sweetbaby(dot)it(dot)txt | 1 | 3638 |
| www(dot)tecnicoangioy(dot)it(dot)txt | 1 | 2442 |
| www(dot)tela(dot)it(dot)txt | 1 | 7859 |
| www(dot)terredelmediterraneo(dot)org(dot)txt | 1 | 1615 |
| www(dot)teslacoil(dot)it(dot)txt | 1 | 1374 |
| www(dot)thyroidimaging(dot)com(dot)txt | 1 | 7759 |
| www(dot)tiroide(dot)net(dot)txt | 1 | 8257 |
| www(dot)toscaspose(dot)it(dot)txt | 1 | 8134 |
| www(dot)treni2000(dot)it(dot)txt | 1 | 2626 |
| www(dot)triestebynet(dot)it(dot)txt | 1 | 8599 |
| www(dot)trinity-rome(dot)com(dot)txt | 1 | 6711 |
| www(dot)tuttestorie(dot)it(dot)txt | 1 | 914 |
| www(dot)ugis(dot)it(dot)txt | 1 | 1457 |
| www(dot)umbriatennis(dot)it(dot)txt | 1 | 1928 |
| www(dot)unitronitalia(dot)it(dot)txt | 1 | 1292 |
| www(dot)utgfoggia(dot)it(dot)txt | 1 | 1289 |
| www(dot)valentiracing(dot)com(dot)txt | 1 | 10048 |
| www(dot)verdeprogetto(dot)it(dot)txt | 1 | 4619 |
| www(dot)veximchem(dot)com(dot)txt | 1 | 12215 |
| www(dot)vigevano(dot)org(dot)txt | 1 | 42009 |
| www(dot)villacesare(dot)it(dot)txt | 1 | 20700 |
| www(dot)villadegliangeli(dot)com(dot)txt | 1 | 1029 |
| www(dot)vispi(dot)info(dot)txt | 1 | 3552 |
che pubblico esclusivamente per facilitare una verifica da parte di chi ha un sito WEB hostato su questo indirizzo IP e voglia vedere se esistono problemi di codice java inserito.
La bonifica del sito , se presente il file javascript, e' abbastanza semplice e consiste nell'eliminare il o i codici presenti relativi allo script in questione,
fermo restando che occorre anche verificare eventuali vulnerabilita' presenti sia nel codice del sito che, se si dimostrasse che c'e' stato un problema al server, vulnerabilita' sul server colpito.Una ricerca su IP appartenenti allo stesso range, al momento, non ha rilevato ulteriori siti con problema simile ed e' quindi probabile che l'attacco si sia limitato, almeno per ora, ad un unico indirizzo IP.
Edgar
Nessun commento:
Posta un commento