giovedì 28 gennaio 2010

Siti compromessi con inclusione javascript su servers Aruba (aggiornamento ore 8 am Thai time , 2 am Ita time) Alcuni dettagli.

Questo un aggiornamento che presenta alcuni dei siti compromessi , come risultano da una scansione Webscanner, eseguita questa mattina ora Thai (le 2 am del 28 gennaio in Italia)

Rispetto ad ieri sembra quasi del tutto bonificata la presenza dello script java offuscato, visto che ad una scansione degli indirizzi precedentemente colpiti abbiamo solo tre positivi.

Quello che pare particolare e' che uno dei tre siti presenti (corriereuniv.it) , ieri non compariva nella scansione, come positivo , ma solo nelle liste di siti infetti pubblicate in rete, in precedenza.

Vediamo qualche dettaglio in piu' utilizzando proprio il sito corriereuniv.it che parrebbe essere il piu recente attaccato.
Questa la homepage del sito corriereuniv.it con in evidenza la connessione a Twitter generata dallo script

che se abilitata , a sua volta, attiva la generazione del nome di sito con contenuti pericolosi (come descritto qui)


e che coincide perfettamente con l'indirizzo web generato da questa applicazione online (Torpig Domain Generator) che utilizza l''algoritmo estratto dallo script java malevolo presente sui siti colpiti.

Come, gia scritto in passato, Torpig Botnet usa le API di Twitter per generare nuovi nomi di indirizzi web in maniera pseudo-casuale sui quali vengono reindirizzati i visitatori dei siti colpiti. I nomi di dominio attivi cambiano sino a due volte al giorno.

Il tools online genera anche i nomi di dominio che verranno attivati ed utilizzati nelle prossime 24 ore. (active soon)

Un whois dell'indirizzo web generato punta a

Per concludere, l'analisi online presente su http://www.UnmaskParasites.com/security-report/?page=corriereuniv.it evidenzia come il sito IT, sia stato sviluppato in WordPress 2.3.3 - Warning: Old version of WordPress. It may be vulnerable. Please upgrade.


Edgar

Nessun commento: