Alcuni dettagli si possono trovare su molti dei post pubblicati sul blog .
Sembra che ora, si sia passati dal proporre links su pagine per cosi' dire 'legittime' in quanto create con le possibilita' offerte dalla cattiva configurazione di Moodle, ad una vera e propria compromissione del sito, per permettere di includere al suo interno centinaia di pagine e links a fake Av, malware, ecc...
Vediamo la situazione attuale attraverso alcuni esempi attualmete disponibili in rete:
Questo un server di universita' del Nord Italia con installati alcuni siti che propongono differenti pagine di didattica online
ed anche
Esaminando nel dettaglio i contenuti del server si trova questa directory
che a sua volta contiene
con centinaia di link a codice php che propongono pagine web come questa
Tra i vari links, notiamo anche un codice php dal nome inequivocabile
che se eseguito punta a sito della Moldova
con relativo fake scanner AV che propone questo eseguibile visto da VT come
Stessa 'configurazione' per questo sito Moodle, di altra universita' italiana
dove risulta presente una directory che al suo interno ospita
con i medesimi risultati di redirect su falso scanner AV locato sempre su server in Moldova.
Viste le date dei codici inclusi, e l'IP del sito di falso scanner AV, parrebbe trattarsi, in entrambi i casi, di attacchi molto recenti.
Edgar
Sembra che ora, si sia passati dal proporre links su pagine per cosi' dire 'legittime' in quanto create con le possibilita' offerte dalla cattiva configurazione di Moodle, ad una vera e propria compromissione del sito, per permettere di includere al suo interno centinaia di pagine e links a fake Av, malware, ecc...
Vediamo la situazione attuale attraverso alcuni esempi attualmete disponibili in rete:
Questo un server di universita' del Nord Italia con installati alcuni siti che propongono differenti pagine di didattica online
ed anche
Esaminando nel dettaglio i contenuti del server si trova questa directory
che a sua volta contiene
con centinaia di link a codice php che propongono pagine web come questa
Tra i vari links, notiamo anche un codice php dal nome inequivocabile
che se eseguito punta a sito della Moldova
con relativo fake scanner AV che propone questo eseguibile visto da VT come
Stessa 'configurazione' per questo sito Moodle, di altra universita' italiana
dove risulta presente una directory che al suo interno ospita
con i medesimi risultati di redirect su falso scanner AV locato sempre su server in Moldova.Viste le date dei codici inclusi, e l'IP del sito di falso scanner AV, parrebbe trattarsi, in entrambi i casi, di attacchi molto recenti.
Edgar
Nessun commento:
Posta un commento