che risulta segnalato in rete come compromesso attraverso l'inclusione di codice html di hacking
Poiche' lo stesso sito parrebbe essere hostato su server dedicato
si e' provato un reverse IP dell'indirizzo coinvolto ottenendo un elenco di una decina di siti che sono stati analizzati alla ricerca di eventuali pagine di hacking ospitate ad indirizzo web simile a quello visto per la pagina sul sito comunale analizzato. (homepage/hoss.htm)
In effetti si nota che in piu' della meta' dei link analizzati troviamo una pagina di hacking hoss.htm uguale a quella vista sul sito comunale
Questo un report Autoit che evidenzia i siti coinvolti
e questo uno screenshot di una delle pagine incluse identica a quella presente sul sito comunale compromesso.
Gli headers mostrano data recente relativamente al probabile momento dell'inclusione della pagina nel sito compromesso
Una particolarita' di questa azione di hacking e' la presenza di segnalazioni online che evidenziano la pagina di hacking come malware.
Esaminando il sorgente si nota la presenza di un codice debolmente offuscato
che de-offuscato vede linkare un indirizzo di blog che si occupa di hacking.
Una analisi VT in effetti rileva il source della pagina come includere un Trojan.Script.KD
anche se parrebbe essere solamente una indicazione che viene generata non tanto dalla pericolosita' del codice presente ma piuttosto dal fatto che si tratta di script offuscato, poiche' il blog linkato non presenta al momento indicazioni di presenza malware.
Edgar
Nessun commento:
Posta un commento