lunedì 22 marzo 2010

Files inclusi su siti Moodle di Universita' IT (aggiornamenti)

AVVISO ! Ricordo, come sempre, che anche se i links sono in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc..

Continuano gli 'aggiornamenti' dei files inclusi all'interno di siti Moodle appartenenti ad universita' italiane. (qui un precedente post al riguardo)

Una ricerca in rete trova in data odierna questi links

dove notiamo che l'ultima indicizzazione dei contenuti da parte del motore di ricerca risale solo ad ieri.

Ecco un dettaglio dei files inclusi in alto numero

con la presenza anche di un codice php


che redirige su fake scanner AV dal consueto layout

con whois

e che distribuisce


Una analisi dell'IP di provenienza del fake scanner dimostra che il server linkato contiene altri siti probabilmente utilizzati per il medesimo scopo.


Da notare che questa inclusione di files e' presente da lunga data sempre sui medesimi siti come evidenzia una ricerca filtrando uno solo degli indirizzi colpiti

Accedendo al file php di redir con IP Thai si viene rediretti sempre su range appartenente a stesso hoster moldavo ma su diverso IP con sito che al momento risulta offline ma che dal nome della url non sembrerebbe essere relativo a fake AV.

Edgar

Nessun commento: