venerdì 29 marzo 2013

Siti IT compromessi. Un caso particolare (29 marzo)

Si tratta di un sito di noto comune del sud Italia


che risulta segnalato in rete come compromesso attraverso l'inclusione di codice html di hacking


Poiche' lo stesso sito parrebbe essere hostato su server dedicato 


si e' provato un reverse IP dell'indirizzo  coinvolto ottenendo un elenco di una decina di siti che sono stati analizzati alla ricerca di eventuali pagine di hacking ospitate ad indirizzo web simile a quello visto per la pagina sul sito comunale analizzato. (homepage/hoss.htm)
In effetti si nota che in piu' della meta' dei link analizzati troviamo una pagina di hacking hoss.htm uguale a quella vista sul sito comunale

Questo un report Autoit che evidenzia i siti coinvolti


e questo uno screenshot di una delle pagine incluse identica a quella presente sul sito comunale compromesso.


Gli headers mostrano data recente relativamente al probabile momento dell'inclusione della pagina nel sito compromesso


Una particolarita' di questa azione di hacking e' la presenza di segnalazioni online che evidenziano la pagina di hacking come malware.
Esaminando il sorgente si nota  la presenza di un codice debolmente offuscato 


che de-offuscato vede linkare un indirizzo di blog che si occupa di hacking.


Una analisi VT in effetti rileva il source della pagina come includere un Trojan.Script.KD 


anche se parrebbe essere solamente una indicazione che viene generata non tanto dalla pericolosita' del codice presente ma piuttosto dal fatto che si tratta di script offuscato, poiche' il blog linkato non presenta al momento indicazioni di presenza malware. 

Edgar

Nessun commento: