Il primo caso e' relativo a sito di Comune italiano di cui vediamo la homepage
Se eseguiamo una ricerca in rete con termini di pharmacy filtrando i risultati solo per il domino IT comunale otteniamo i seguenti risultati attraverso un report generato da script Autoit
ed in dettaglio
Interessante notare come, se l'IP di origine di chi esegue la ricerca e' in range IT oppure il referer generato da Google e' bloccato usando opportuno addon Firefox, i links risultanti puntano comunque alle pagine legittime del sito.
Nel caso invece non ci sia IP italiano e il referer Google sia attivo, si verra' linkati a sito di pharmacy, tramite alcuni redirect in serie
Oltre al redirect automatico a sito di pharmacy una analisi dei sources interessati mostra anche al presenza, quando il sito comunale viene visitato da bot del motore di ricerca, di alcuni links
che puntano a pagine come questa, utili a creare ulteriori collegamenti a pagine di pharmacy.
Il secondo caso e' interessante in quanto si tratta di Pharmacy Hacking che colpisce il sito nazionale di servizio di Assistenza Fiscale collegato a nota Associazione di Lavoro italiana.
Qui vediamo i risultati della ricerca Google riassunti da un report Autoit
con in dettaglio
In questo caso si tratta non di redirect a pharmacy ma solo di alcuni links inclusi nel codice delle pagine
Da notare che se si attiva un user agent come Google Bot i links compaiono in basso nelle pagine interessate dall'hacking.
Per chi volesse approfondire l'argomento Pharmacy Hacking dal punto di vista 'operativo' segnalo questo sito dove si potranno trovare anche samples dei codici di Pharmacy.
Si tratta in pratica di codice, molto spesso offuscato, che in maniera del tutto automatica include nelle pagine web richiamate dal visitatore i links ai siti di pharmacy e/o redirige a tali siti.
Quasi sempre i codici php utilizzati eseguono verifiche sull'IP del visitatore, sul motore di ricerca usato (referer relativo alle parole chiave usate nella ricerca) e sull'User Agent (browser, bot di ricerca ecc....) con lo scopo di selezionare chi reindirizzare al sito di pharmacy e chi no.
Il fine e' sempre quello di evitare che chi normalmente visita il sito colpito o lo amministra si accorga dell'azione di inclusione dei codici di Pharmacy.
Si puo' arrivare a casi estremi in cui oltre all'User Agent es. di Google Bot vengano verificati gli IP per assicurarsi che sia realmente il noto motore di ricerca a visitare il sito per indicizzarlo e non un semplice browser che sta usando uno dei tanti addons presenti che simulano il bot 'originale'
Edgar
Nessun commento:
Posta un commento