Continua la presenza in rete di nuovi siti IT con pagine incluse e nascoste, inclusione attuata probabilmente attraverso una delle modalita' viste ieri nel dettagliato post che illustra un interessante 'technical paper' pubblicato da SophosLabs al riguardo di questa importante tipologia di attacchi a siti legittimi anche IT.
Lo sfruttamento di vulnerabilita di vario genere consente praticamente ogni giorno di trovare in rete nuovi siti IT compromessi come vediamo in questa ennesima pagina presente su sito IT legittimo:
Questa volta, rispetto alle precedenti abbiamo pero' la possibilita' di esaminare le statistiche relative al sito colpito, cosa che dovrebbe confermare l'aumento di traffico non desiderato ai danni del sito compromesso ma anche altri interessanti dettagli:
Questi i risultati della ricerca in rete da cui si vede che la piu' datata indicizzazione per queste pagine incluse e' vecchia di tre giorni
Vediamo ora quanto riportano le statistiche relativamente all'URL di ingresso al sito
Come c'era da aspettarsi ,nel report delle 10 pagine di 'entry' al sito piu' utilizzate , compaiono solo ed esclusivamente indirizzi riconducibili alle attuali pagine nascoste incluse
Questa invece l'analisi del traffico sul sito, di inizio Aprile,
che confermerebbe un aumento degli accessi dall'inizio del mese, probabilmente in coincidenza con la comparsa sui motori di ricerca, di risultati che puntano a pagine incluse nel sito compromesso
La possibilita' di avere a disposizione le statistiche sugli accessi al sito si dimostra anche utile per verificare se lo stesso sia stato in passato gia' vittima di attacchi simile ed infatti ecco una statistica relativa al novembre 2009
che dimostra come esisteva un traffico verso pagine hostate sul sito compromesso che , anche se il motore di ricerca non elenca, sono tuttora presenti
ed ancora analizzando i dati relativamente a gennaio 2010 ecco altri indirizzi
che rivelano la presenza di questa differente tipologia di pagina inclusa
In pratica possiamo confermare che il sito esaminato e' vittima gia' da tempo di inclusione di pagine nascoste ( o di kit di SEO)
Mentre le pagine piu' datate sembra che non abbiano piu' link attivi a malware sia quelle incluse ad inizio 2010 che quelle incluse in aprile hanno redirect pienamente funzionante tramite script java debolmente offuscato, che punta, ad esempio, a fake scanner AV
con questi risultati
Edgar
Lo sfruttamento di vulnerabilita di vario genere consente praticamente ogni giorno di trovare in rete nuovi siti IT compromessi come vediamo in questa ennesima pagina presente su sito IT legittimo:
Questa volta, rispetto alle precedenti abbiamo pero' la possibilita' di esaminare le statistiche relative al sito colpito, cosa che dovrebbe confermare l'aumento di traffico non desiderato ai danni del sito compromesso ma anche altri interessanti dettagli:Questi i risultati della ricerca in rete da cui si vede che la piu' datata indicizzazione per queste pagine incluse e' vecchia di tre giorni
Vediamo ora quanto riportano le statistiche relativamente all'URL di ingresso al sito
Come c'era da aspettarsi ,nel report delle 10 pagine di 'entry' al sito piu' utilizzate , compaiono solo ed esclusivamente indirizzi riconducibili alle attuali pagine nascoste incluseQuesta invece l'analisi del traffico sul sito, di inizio Aprile,
che confermerebbe un aumento degli accessi dall'inizio del mese, probabilmente in coincidenza con la comparsa sui motori di ricerca, di risultati che puntano a pagine incluse nel sito compromessoLa possibilita' di avere a disposizione le statistiche sugli accessi al sito si dimostra anche utile per verificare se lo stesso sia stato in passato gia' vittima di attacchi simile ed infatti ecco una statistica relativa al novembre 2009
che dimostra come esisteva un traffico verso pagine hostate sul sito compromesso che , anche se il motore di ricerca non elenca, sono tuttora presenti
ed ancora analizzando i dati relativamente a gennaio 2010 ecco altri indirizzi
che rivelano la presenza di questa differente tipologia di pagina inclusa
In pratica possiamo confermare che il sito esaminato e' vittima gia' da tempo di inclusione di pagine nascoste ( o di kit di SEO)Mentre le pagine piu' datate sembra che non abbiano piu' link attivi a malware sia quelle incluse ad inizio 2010 che quelle incluse in aprile hanno redirect pienamente funzionante tramite script java debolmente offuscato, che punta, ad esempio, a fake scanner AV
con questi risultati
Edgar
Nessun commento:
Posta un commento