mercoledì 14 ottobre 2009

Falsi AV e pharmacy linkati da siti IT che trattano di sviluppo scolastico a livello nazionale

Molti dei siti presenti su questo IP

appartenente a server che ospita i siti relativi ad Agenzia Nazionale IT per lo sviluppo della scuola appaiono compromessi con diverse modalita'.

Ecco un report eseguito con un nuovo tool Autoit 'Folderscanner' che dimostra la presenza di parecchia 'spazzatura'

In rosso, ad esempio, abbiamo evidenziati i siti compromessi con inclusione di falso player (direttamente ospitato sul sito compromesso e non, come succede di solito, linkato su sito esterno (vedi url))


Il sorgente del player rivela tra l'altro la presenza di testo nascosto utilizzato per aumentare le 'parole chiave' della ricerca in rete.


Il player, se cliccato, punta all'ennesimo falso scanner Online

con questo file, attualmente distribuito da numerosi siti di falsi AV


e come sempre poco riconosciuto. (notare il diverso nome di file eseguibile che VT propone in alternativa a quello inviato per la scansione)
In piu' sempre sul medesimo indirizzo del fake scanner AV ma con url che punta alla pagina /scan2/ abbiamo questo falso sito di filmati porno

che linka al medesimo file eseguibile.(attuale incremento del numero di falsi Av distribuiti da fake player e plugin su siti porno)

In aggiunta ai links a falso AV, il report evidenzia anche che molti dei siti presenti, hanno una inclusione nel codice delle homepages di centinaia , ma si supera anche il migliaio, di links a siti di pharmacy.
Ecco un esempio di pagina linkata.


La quantita' del codice che punta a pharmacy e' tale che ci sono persino problemi nel visualizzare il sorgente di alcune delle pagine colpite.

Ecco invece i dettagli di alcuni links presenti

ma anche

Come sempre le migliaia di links in maniera nascosta, piu' i falsi player direttamente inclusi , dimostrano la presenza di rilevanti vulnerabilita sui siti o sul server colpito.

I links e le pagine incluse risultano, anche in questa ennesima compromissione, invisibili a chi visita la pagina ( e probabilmente a chi amministra i siti) ma in ogni caso, a parte evidenziare vulnerabilita' presenti, creano sicuramente del traffico di rete non voluto.

Tra l'altro, come evidenziato prima, a causa del codice di alcune delle homepage,'gonfiato' enormemente dai links inseriti, si notano evidenti rallentamenti nel caricamento delle pagine per chi visita i siti coinvolti.

Da considerare poi, anche se di rilevanza forse marginale, il fatto che vedere siti scolastici di un certo livello, proporre viagra o siti porno, come risultato di una ricerca in rete,

non e' sicuramente il massimo dal punto di vista dell'immagine' del sito.

Edgar

Nessun commento: