Gli script tuttora attivi presenti nei siti colpiti redirigono su siti (whois Turchia, Russia, Ucraina) che hanno al loro interno exploits creati in particolare per Internet Explorer.
Consiglio chi volesse visitare i siti elencati di utilizzare Firefox con Noscript attivo, possibilmente in SandBoxie e ancora meglio eseguito su macchina virtuale onde evitare spiacevoli problemi.
Il vantaggio dell'uso di Webscanner consiste nell'avere OFFLINE i codici sorgenti di tutti (o quasi) i siti hostati su uno o piu' IP e sui quali si possono eseguire le piu' varie ricerche.
Dopo questa premessa, vediamo cosa si ricava da ulteriori ricerche sui siti colpiti su server Tiscali.
Fino ad ora si erano prese in considerazione le pagine che presentavano uno script offuscato senza pensare che potevano in effetti esistere altri modi per linkare alle pagine con exploit.
Ecco i risultati con una ricerca in chiaro dell'IP a sito malevolo
Abbiamo decine di pagine che presentano questo semplice codice di iframe con IP simile a quelli visti in precedenza, ma in chiaro, che carica la 'solita ' pagina con exploit
con ad esempio whois su
Quindi ai numerosi siti visti in precedenza se ne aggiungono altri con questo problema,
File Name | Matches |
www(dot)dellabiancia(dot)it(dot)txt | 1 |
www(dot)dellotto(dot)it(dot)txt | 1 |
www(dot)depero(dot)it(dot)txt | 1 |
www(dot)dervio(dot)org(dot)txt | 1 |
www(dot)dicorsa(dot)com(dot)txt | 1 |
www(dot)dierreform(dot)it(dot)txt | 1 |
www(dot)difensore(dot)it(dot)txt | 1 |
www(dot)dog-portrait(dot)com(dot)txt | 1 |
www(dot)donorione-montemario(dot)it(dot)txt | 1 |
www(dot)dovesposi(dot)it(dot)txt | 1 |
www(dot)ecogin(dot)it(dot)txt | 1 |
www(dot)esaweb(dot)net(dot)txt | 1 |
www(dot)estovestroma(dot)it(dot)txt | 1 |
www(dot)estrazionidellotto(dot)com(dot)txt | 1 |
www(dot)euroacque(dot)it(dot)txt | 1 |
www(dot)eurodanceweb(dot)net(dot)txt | 1 |
www(dot)europetitalia(dot)it(dot)txt | 1 |
www(dot)examina(dot)net(dot)txt | 1 |
www(dot)gafiart(dot)it(dot)txt | 1 |
www(dot)gatc(dot)it(dot)txt | 1 |
www(dot)gattopanceri(dot)net(dot)txt | 1 |
www(dot)gelsobianco(dot)it(dot)txt | 1 |
www(dot)genitoricattolici(dot)org(dot)txt | 1 |
www(dot)gestmamma(dot)it(dot)txt | 1 |
www(dot)gsgauss(dot)it(dot)txt | 1 |
www(dot)guidevenezia(dot)it(dot)txt | 1 |
www(dot)guitaranch(dot)com(dot)txt | 1 |
www(dot)hazardedizioni(dot)it(dot)txt | 1 |
www(dot)hotelilfaro(dot)it(dot)txt | 1 |
www(dot)ilcastelloincantato(dot)com(dot)txt | 1 |
www(dot)ilcinemadeibambini(dot)it(dot)txt | 1 |
www(dot)ilconfettiere(dot)it(dot)txt | 1 |
www(dot)ilmegliodisalerno(dot)it(dot)txt | 1 |
www(dot)ilmiosapone(dot)it(dot)txt | 1 |
www(dot)ilpaesedelpatchwork(dot)com(dot)txt | 1 |
www(dot)immobila(dot)it(dot)txt | 1 |
Lista parziale in quanto ricerca eseguita su un solo IP
Da notare anche che alcuni di questi links in lista, per come e' strutturato il sito, se aperti nel normale browser NON mostrano la pagina con il codice che punta all'IP malevolo in quanto una volta caricata la homepage, si viene rediretti automaticamente su altra pagina dello stesso sito che si sta visitando. Solo usando WGET o CURL e' possibile in alcuni casi esaminare il codice pericoloso presente solo sulla prima delle pagine caricate in sequenza.
Edgar
Nessun commento:
Posta un commento