Ritorno brevemente sulla presenza online di siti IT compromessi attraverso alcune odierne segnalazioni.
Questo un report Webscanner
che evidenzia che praticamente tutti i siti rilevati con reverse IP su
presentano la homepage sostituita da
Come si vede dalla URL dello screenshot abbiamo anche un sito relativo a protezione civile del Nord Italia che e' stato colpito da questa azione di 'defacement' , cosa che mostra una certa pericolosita' dell'attacco in quanto potrebbe trattarsi di sito utilizzato per avvisi ed allerta in caso di calamita' naturali ecc....
Questi invece alcuni siti Comunali toscani con inclusa pagina di hacking:
e whois
ed anche
con whois
Decine di siti hostati su
presentano invece una inclusione di semplice file immagine jpg.
Un uso del tool Webscanner permette il download del file immagine relativamente ad ogni sito individuato da reverse IP, dimostrando due differenti JPG utilizzate pur con il medesimo nome di file
In dettaglio abbiamo
ed anche
Interessante notare che si tratta ancora una volta di siti che usano un versione datata e vulnerabile di Dot Net Nuke attraverso 'gallery remote file upload without authentication' che permette l'accesso da remoto dell'interfaccia di amministrazione dei contenuti e l'upload di differenti files (txt,jpg ..) anche con doppia estensione es. php.jpg
Esaminando l'interfaccia di upload contenuti di uno di questi siti vediamo come sia presente anche altro file jpg
come
cosa che denota probabili precedenti attacchi.
Il fatto che da tempo (ormai anni) siano online siti con problemi DotNetNuke e' anche spiegabile con le modalita' di attacco specifiche per questo tipo di hacking, considerato che in generale si tratta di inclusioni di files testo o immagine in folders non direttamente coinvolti nel layout on-line del sito colpito e quindi e' molto probabile che chi lo amministra, non sia neanche a conoscenza dell'attacco.
Ricordo comunque che sono molti i siti che usano versioni vulnerabili di DotNetNuke che mostrano la presenza non solo di innocui file testo od immagine, ma di codici php, asp (shells) perfettamente attivi:
e che permettono di agire sul sito interessato ma, in alcuni casi, anche di poter 'navigare' tre i vari siti hostati sul server in questione.
In questi casi si tratta di attacchi che potrebbero, ad esempio, essere sfruttati come supporto ad azioni di phishing, redirects a phishing, SEO poisoning ma anche distribuzione di links a malware o malware... ecc......
Edgar
Questo un report Webscanner
che evidenzia che praticamente tutti i siti rilevati con reverse IP su
presentano la homepage sostituita da
Come si vede dalla URL dello screenshot abbiamo anche un sito relativo a protezione civile del Nord Italia che e' stato colpito da questa azione di 'defacement' , cosa che mostra una certa pericolosita' dell'attacco in quanto potrebbe trattarsi di sito utilizzato per avvisi ed allerta in caso di calamita' naturali ecc....Questi invece alcuni siti Comunali toscani con inclusa pagina di hacking:
e whois
ed anche
con whois
Decine di siti hostati su
presentano invece una inclusione di semplice file immagine jpg.Un uso del tool Webscanner permette il download del file immagine relativamente ad ogni sito individuato da reverse IP, dimostrando due differenti JPG utilizzate pur con il medesimo nome di file
In dettaglio abbiamo
ed anche
Interessante notare che si tratta ancora una volta di siti che usano un versione datata e vulnerabile di Dot Net Nuke attraverso 'gallery remote file upload without authentication' che permette l'accesso da remoto dell'interfaccia di amministrazione dei contenuti e l'upload di differenti files (txt,jpg ..) anche con doppia estensione es. php.jpg
Esaminando l'interfaccia di upload contenuti di uno di questi siti vediamo come sia presente anche altro file jpg
come
cosa che denota probabili precedenti attacchi.Il fatto che da tempo (ormai anni) siano online siti con problemi DotNetNuke e' anche spiegabile con le modalita' di attacco specifiche per questo tipo di hacking, considerato che in generale si tratta di inclusioni di files testo o immagine in folders non direttamente coinvolti nel layout on-line del sito colpito e quindi e' molto probabile che chi lo amministra, non sia neanche a conoscenza dell'attacco.
Ricordo comunque che sono molti i siti che usano versioni vulnerabili di DotNetNuke che mostrano la presenza non solo di innocui file testo od immagine, ma di codici php, asp (shells) perfettamente attivi:
e che permettono di agire sul sito interessato ma, in alcuni casi, anche di poter 'navigare' tre i vari siti hostati sul server in questione.In questi casi si tratta di attacchi che potrebbero, ad esempio, essere sfruttati come supporto ad azioni di phishing, redirects a phishing, SEO poisoning ma anche distribuzione di links a malware o malware... ecc......
Edgar
Nessun commento:
Posta un commento