sabato 25 maggio 2013

Particolari pagine WEB di 'Referer spamming'. Scaricato il codice di spamming ai danni di questo blog (25 maggio)

AVVISO ! Ricordo, come sempre, che anche se alcuni links sono in chiaro, evitate di visitare il sito elencato se non avete preso tutte le precauzioni del caso ed in special modo disabilitata l'esecuzione degli scripts..
In caso contrario, con gli scripts abilitati, e' probabile che il vostro PC inizi a generare una sequenza di 'referer spamming' ai danni di blogs blogger. 

C'erano pochi dubbi sul fatto che il codice nascosto nelle pagine del 'fake' sito porno 'topblogstories.com', servisse a generare uno spamming di referer ai danni delle statistiche anche di questo blog.
Nel post precedente avevamo visto sommariamente come funzionava il codice presente in pagine 'topblogstories.com'.

Oggi abbiamo invece la conferma del target (edetools) attraverso l'acquisizione effettuata in maniera automatizzata tramite script Autoit, del relativo codice di pagina di topblogstories.com.
Per di piu' abbiamo anche la coincidenza che in contemporanea con la presenza  del codice online le stats di questo blog hanno registrato la consueta comparsa dei riferimenti al sito 'topblogstories.com'.

Vediamo alcuni interessanti dettagli:
Per iniziare ecco due successive acquisizioni del source di una pagina a carattere porno del sito 'topblogstories.com'.

Al time


abbiamo


mentre dopo circa 2 secondi, al time


notiamo che l'URL Blogspot presa in esame, risulta 'shiftata' al top della lista


Questo vuole dire che in pratica ogni circa due secondi l'elenco viene rinnovato inserendo nuove URLS.

Si tratta come si capisce di migliaia di indirizzi Blogspot in quanto per proporre incluso nelle pagine porno tutto l'elenco alfabetico dalla A alla Z occorrono parecchie ore. (dalle 12 alle 15 ore)

A questo punto tramite sempre lo script Autoit si e' provveduto ad acquisire ad intervalli di circa 2 secondi il source del sito 'topblogstories.com', partendo dal momento 


in cui la lista ordinata di URL proponeva nomi di siti blogger inizianti per lettera D


Dopo circa 30 minuti, al time


veniva acquisito il seguente source 


dove troviamo anche l'URL di questo blog.
Qui un  dettaglio del codice nascosto sulla pagina


Contemporaneamente una analisi delle statistiche del blog mostrava 


un nuovo spamming proveniente da topblogstories.com/17794&c=6

Come si vede al dominio e' associato un numero che non e' altro che il nome della foto porno linkata da sito ucraino che le hosta, ma in realta' la parte di codice contenente le url dei blogs blogger e' aggiornata al momento in cui al pagina viene caricata nel browser.
In altre parole la stessa pagina con identica foto propone nel tempo differenti liste di URL seguendo la cronologia vista prima (la lista dei blogs si completa dalla A alla Z in 12...15 ore)


C'e' anche da evidenziare che tutto il layout di pagina sembra essere fatto esclusivamente a supporto dello spamming di referer in quanto nessuna delle opzioni presenti ( register, login, enter chat) sono implementate nel codice.

Edgar

Nessun commento: