sabato 2 maggio 2009

Siti compromessi su servers italiani (aggiornamento 2 maggio 09)

Ricordo sempre che anche se alcuni links sono lasciati in chiaro negli screenshot, evitate di visitare i siti in questione se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc....) !!!!

Su questo IP appartenente ad hoster italiano

troviamo, al momento di scrivere il post, diversi siti che presentano la homepage sostituita da pagine di hacking con i soliti proclami, ma anche un sito con codice offuscato sia nella home che nelle altre pagine e che punta ad exploit attivo.

Ecco un report Webscanner che evidenzia nei sorgenti scaricati dal server la presenza di codici di hacking di varia provenienza e probabilmente frutto di attacchi eseguiti in tempi diversi

Ed ecco alcune delle pagine visualizzate, che sostituiscono la homepage dei siti in questione


Estendendo poi la ricerca per verificare la presenza di codici pericolosi sotto forma di javascripts offuscati abbiamo alcune sorprese.

Ad esempio viene rilevato questo sito

di cui vediamo il source nella parte relativa al codice offuscato

Da una prima decodifica otteniamo

che punta a questa pagina, con ulteriore codice offuscato

e con whois

Ad una analisi con Wepawet abbiamo la conferma della presenza di exploit


con link a questo file eseguibile


Interessante notare che cambiando il valore numerico dell'indirizzo web della pagina che ospita l'eseguibile malware si ottengono files sia con diverso nome che codice

e che vengono variamente riconosciuti da VT

Ancora una volta vulnerabilita' evidenziate da siti compromessi solo con pagine di hacking, sono molto spesso utilizzate anche per azioni ben piu' pericolose quali ad esempio la distribuzione di malware attraverso script java offuscati come nel caso visto ora.

Edgar

2 commenti:

Blog di Enzo Pizzoferro ha detto...

io ho 2 siti oscurati come quelli in figura "2+hack.jpg".... analizzando il codice non mi sembra che facciano scaricare codice malevolo... confermate???
Linko il vostro post sul mio blog!!!
Grazie

Edgar Bangkok ha detto...

In questo caso i siti che presentano la homepage sostituita come i tre screenshot di esempio riportati nel post dopo il testo “.....Ed ecco alcune delle pagine visualizzate, che sostituiscono la homepage dei siti in questione ........................” non presentano problemi di codici malevoli o comunque non tentano di far scaricare malware.
Altre volte E' comunque stato segnalato qualche caso in cui sono anche stati aggiunti links ad exploits o a pagine con malware ma sono casi per fortuna non frequenti, almeno sino ad ora.
E' pero' evidente che se qualcuno e' riuscito a compromettere il sito con la sostituzione della home o ha inserito delle pagine di hacking, vuole dire che o il sito oppure il server su cui e' ospitato hanno qualche vulnerabilita' eventualmente sfruttabile per azioni ben piu pericolose (inserimento di siti di phishing (ne vediamo parecchi quasi ogni giorno), inserimento di codici che redirigono a pagine con exploits, links a siti di dubbia affidabilita, pagine nascoste con centinaia di collegamenti a siti di pharmacy ecc. per creare ricerche preferenziali su particolari links in rete....).

Sara' quindi sempre opportuno in questi casi, oltre che bonificare il sito, ricercare anche quale mezzo e' stato utilizzato per comprometterlo e aggiornare eventuali codici che presentano le vulnerabilita' sfruttate dagli attaccanti.

Edgar