mercoledì 23 ottobre 2013

Siti di PA italiana compromessi con azione di hacking che rivela ulteriore presenza di Pharmacy Hack.(23 ottobre)

Segnalati in rete questa mattina (ora thai) alcuni siti comunali del Sud Italia che presentano inclusa pagina di hacking.


Come vedremo nell'analisi la presenza di vulnerabilita' per i siti coinvolti non parrebbe essere nuova in quanto una ulteriore ricerca rivela che gli stessi siti appaiono compromessi con azione di Pharmacy Hacking includendo links ad altri siti IT con gli stessi problemi.

Singolare e' come uno dei link di Pharmacy Hack rilevati, punti a sua volta, a sito comunale del Nord Italia che si presenta compromesso e sul cui stesso hosting appare anche sito di Liceo con inclusione di links a Pharmacy.

Riassumendo abbiamo 

1) alcuni siti comunali (su medesimo IP) compromessi con inclusione di codice PHP che mostra pagina di hacking
2) gli stessi siti risultano essere colpiti da precedente e tuttora attiva azione di Pharmacy Hack
3) i link di Pharmacy puntano a loro volta a sito comunale del Nord Italia , a sito di universita' italiana ecc..... tutti con inclusione di collegamenti a Pharmacy.
4) il sito comunale del Nord Italia e' hostato su server che ospita, a sua volta, sito di Liceo pure compromesso con inclusione di links a Pharmacy.

Una dimostrazione quindi, di probabili vulnerabilita' che vengono sfruttate per differenti azioni di compromissione (inclusione di pagine di hacking, inclusione di links a Pharmacy, ecc....) e di come chi vuole distribuire links a vendita online di medicinali attivi collegamenti che coinvolgono, 'in cascata', piu' domini 

Vediamo alcuni interessanti dettagli:

Questa una analisi con script Autoit 


che rivela alcuni siti comunali su IP


con inclusa questa pagina di hacking


Procedendo ad una ulteriore analisi dei contenuti per rilevare altri codici inclusi e/o links presenti troviamo numerosi collegamenti a Pharmacy.

In dettaglio vediamo un report Autoit che rivela come due dei siti Comunali visti prima ed un ulteriore sito che si occupa di analisi ambientale del territorio 


presentino molti links anche ad ulteriori siti IT compromessi da Pharma Hack.

Ecco un dettaglio di uno dei siti comunali utilizzando User Agent Google Bot per evidenziare l'azione di hacking.


Si nota la presenza di collegamenti ad altri siti, anche IT, che a loro volta risultano compromessi da azione di Pharmacy Hacking.

Questo un frammento del codice


dove a venire linkato e' ancora un 'sito comunale' ma, questa volta, del Nord Italia.

Qui vediamo come attraverso l'utilizzo di appropriato User Agent la sua pagina presenti i menu' alterati da termini di Pharmacy (notate il lungo testo in lingua italiana con inclusi termini di Pharmacy allo scopo di agevolare l'indicizzazione da parte del Bot del motore di ricerca)


mentre questo e' un whois del sito


Come succede spesso se analizziamo con reverse IP gli altri siti presenti sullo stesso IP del sito comunale visto ora, non c'e' da sorprendersi se troviamo  un ulteriore sito , questa volta di Liceo, con presenza di links a Pharmacy


Come curiosita' possiamo anche rilevare tra i links presenti sui siti comunali del Sud Italia da cui eravamo partiti con l'analisi, anche un collegamento a dominio di Universita' Italiana con questa pagina (notate anche in quest caso il lungo testo in lingua italiana con inclusi termini di Pharmacy allo scopo di agevolare l'indicizzazione da parte del Bot del motore di ricerca)


con altrettanto evidenti segni di Pharmacy Hacking.

Edgar

Nessun commento: