I reports presentano questa volta in chiaro le urls dei siti coinvolti per permettere a chi li amministra e visitasse il blog di esserne informato e provvedere alla loro bonifica.
Ricordo che si tratta di script probabilmente attivi e quindi pericolosi e che vanno analizzati solo prendendo tutte le precauzioni del caso.(sandboxie, pc virtuale, noscript ecc....)
Ricordo che si tratta di script probabilmente attivi e quindi pericolosi e che vanno analizzati solo prendendo tutte le precauzioni del caso.(sandboxie, pc virtuale, noscript ecc....)
Ieri sera (28/7) Maverick (del blog maipiugromozon) mi segnalava questo IP 62.149.130.146 dove aveva rilevato un sito compromesso chiedendomi di fare alcune scansioni per verificare la presenza di altri siti con codice javascript offuscato incluso
Questi i risultati di alcune parziali scansioni relative a diversi IP sempre per il medesimo hoster:
Evidenzio il fatto che sono scansioni 'parziali' dato che il numero totale di siti trovati con reverse IP potrebbe essere minore di quelli realmente presenti su specifico IP e quindi alcuni siti compromessi potrebbero non apparire sul report generato da Webscanner
Su IP 62.149.140.94 abbiamo
che risultano compromessi con inclusione di javascript offuscato, simile come contenuti a quelli gia' rilevati nei mesi scorsiSu IP 62.149.140.93 troviamo invece questi siti con evidenza di codice java incluso offuscato
A questo punto pero', visti i precedenti attacchi ad inizio 2010 (ma rilevati gia' dall'anno scorso) subiti da siti hostati sempre su Aruba, proviamo una ulteriore analisi prendendo come base una lista di quelli compromessi con inclusione javascript e datata 28 gennaio 2010 (ed aggiornamento il 5 aprile 2010)I risultati della scansione mostrano che un buon numero di siti e' ancora (o piu' probabilmente nuovamente ?) compromesso.
Ad esempio analizzando i codici javascript presenti in questo specifico report, solo quello di beachsolaire(dot)it e' leggermente diverso
ed una sua una datazione, utilizzando gli header della pagina, ci restituisce il 19 marzo come ultima modifica del sito e forse della probabile inclusione. (l'header potrebbe indicare che comunque la pagina non e' piu' stata aggiornata dopo quella data)
Per tutti gli altri vecchi siti, presenti in report, che risultano compromessi con codice java simile a quello trovato attualmente,
gli header di pagina mostrano una data recente
Tra l'altro una analisi VT dello script su beachsolaire(dot)it restituisce
mentre lo script java offuscato presente sulle altre pagine analizzate mostra
con differenze sulla rilevazione del malware.Questa invece la provenienza degli IP dei 'vecchi siti compromessi' che continuano ad esserlo a tutt'oggi e che sono distribuiti in maniera abbastanza estesa su diversi indirizzi.
Se ripetiamo l'analisi degli script sui siti acquisiti nelle scansione dei 'nuovi IP' rilevati da Maverick ad esempio su IP 62.149.140.93, abbiamo anche in questo caso alcune differenze sui codici java scripts offuscati e, guarda caso, anche sulle date presenti negli header di pagina, che confermerebbero date diverse, e recenti, per l'inclusione dello script.Rilevante e' come questo script
sia visto da VT
a differenza di questo (prendendo per buona la data dell'header riferibile a ieri)
che VT rileva molto poco.
Faccio comunque presente che si tratta solo di una analisi del codice della pagina in formato testo ed inviato a VT, con tutti i limiti di una scansione del genere.Tutto questo fa comunque pensare che oltre a nuovi siti attaccati ci sia anche una parte di vecchie pagine che erano presenti nei report di attacchi ad inizio anno, che attualmente sono, almeno in parte, nuovamente prese di mira da chi vuole distribuire links a malware.
Da evidenziare anche le diverse risposte AV ad una analisi VT dei sorgenti delle pagine dei siti compromessi.
Edgar
Nessun commento:
Posta un commento