martedì 31 luglio 2007

SITESCANNER V.0.1


Sitescanner V.0.1
Esegue la scansione di tutte le pagine che compongono un sito alla ricerca di una stringa di caratteri alfanumerici.
L indirizzo del sito puo' essere o una singola url o un file con la lista dei siti da esaminare(esempio il log ottenuto da Webscanner)
Utile se si vuole determinare se anche altre pagine del sito oltre la homepage (succede) sono contaminate da codice pericoloso.

Edgar

lunedì 30 luglio 2007

WEBSCANNER Vers.3.0 beta


E' disponibile la versione 3.0 beta di webscanner.

Nuove opzioni:
E' ora possibile caricare tramite menu' un file txt contenente le url da esaminare.
Si puo' esempio creare un file txt con un copia e incolla dal sito web seologs.com oppure leggere direttamente un file di log generato da webscanner per vedere se a distanza di tempo rimangono siti infetti in quella lista.
Inoltre e' ora possibile selezionare tramite menu un folder dove salvare risultati della scansione e files di log.
Il programma , dato che e' ancora in beta, expire il 31/08/2007.
Scaricare lo zip contenente anche wget da qui e installarlo rispettando la struttura dei folder (per sicurezza evitare di installarlo sopra la versione 2) .
Edgar

sabato 28 luglio 2007

Nuova versione 2.2 del tools

La nuova versione 2.2 con la correzione di un bug e possibile scaricarla da qui: webscanner 2.2
Viene corretto il bug che faceva entrare in loop infinito il lettore delle pagine restituite dal motore di ricerca se nel testo della pagina era contenuta la parola chiave 'next'
Sostituire il file exe della vers. 2.1 dopo averne fatto una copia di sicurezza.
Edgar

Elenco di siti con javascript offuscato

Questi sono i risultati della scansione con Webscanner dei siti compresi nel range IP 194.242.61.1 - 194.242.61.209.
Come segnala della societa' fiorentina Hosting Solutions.
La lsita completa ottenuta con webscanner:
------------------------------------
vvv.tuttoperlaricevitoria.it
------------------------------------
Num. 1 SITES at IP 194.242.61.20
===================================
vvv.ipocriti.com
vvv.kfactor.it
vvv.hotellombardia.com
vvv.eosmilano.com
vvv.ilmarchiodelleidee.com
vvv.alecampi.it
vvv.altatensioneitalia.com
vvv.valuesearch.it
vvv.fabiosironi.com
vvv.eufootballuniversity.com
vvv.gibilogic.com
vvv.florisitalia.com
vvv.mouillettes-and-co.com
vvv.piccolomarte.it
vvv.metaorizzonte.it
vvv.gshosting.it
vvv.scienzaesocieta.org
vvv.sailingproject.org
vvv.exentiaparma.com
vvv.exentiaparma.com
vvv.dreo.it
vvv.nuovoteatro.com
--------------------------------------
Num. 22 SITES at IP 194.242.61.121
======================================
vvv.simoe.it
vvv.b2comunicazione.com
vvv.laserlisi.net
vvv.bagatti.it
vvv.antonuccirestauri.it
vvv.sportplanetbovalino.com
------------------------------------
Num. 6 SITES at IP 194.242.61.122
====================================
vvv.giacin.com
-----------------------------------
Num. 1 SITES at IP 194.242.61.123
===================================
vvv.bohumil.it
vvv.cosimobuccolieri.com
vvv.systemflight.it
vvv.cregut.it
vvv.turin-gallery.com
vvv.obiettivorisarcimento.it
vvv.zaiti.com
vvv.spinoneitaliano.it
vvv.barlettapianoforti.it
vvv.studiozulian.it
vvv.ceispt.org
-------------------------------------
Num. 11 SITES at IP 194.242.61.128
====================================
vvv.milanomondana.it
---------------------------------------
Num. 1 SITES at IP 194.242.61.136
======================================
vvv.torte.it
---------------------------------------
Num. 1 SITES at IP 194.242.61.170
======================================
vvv.larotondasulmare.com
vvv.tvbsms.it
vvv.vacanze-ischia.it
vvv.dietinger.it
vvv.studioalbanese.it
vvv.alessandracanale.it
vvv.gbmeccanica.com
vvv.agrimanzoni.it
vvv.collezionialtamoda.it
vvv.comune.poggioreale.tp.it
vvv.royaltur.com
vvv.zonatortona.org
vvv.scais.it
vvv.micheladistefano.it
vvv.uiapoa.it
vvv.patriziaurbinati.it
vvv.progettosinergia.com
vvv.corazonlatino.it
vvv.zoldester.com
vvv.jatimusic.com
vvv.assonucleare.it
vvv.etruriarugby.it
vvv.vistamare-case.it
vvv.truffini.it
vvv.fagioielli.it
vvv.next-station.info
vvv.accadueo.net
vvv.dippolito.it
vvv.vinicamadresca.com
vvv.exportdental.com
vvv.sienaviplodge.it
vvv.mauromancia.it
vvv.winecom.it
vvv.cmat.it
vvv.theoryofmind.info
vvv.sienaviplodge.it
vvv.mauromancia.it
vvv.royaltur.net
vvv.tvbsms.com
vvv.winecom.it
vvv.cmat.it
vvv.cheap-hotel-florence.com
vvv.saporidelcuneese.it
vvv.villadelfini.it
vvv.stepscuoladidanza.it
vvv.luismedia.it
vvv.luismedia.it
vvv.zoldester.com
vvv.sssy.it
vvv.tinticarlo.it
vvv.sienanatura.net
vvv.basf-cv.it
----------------------------------------
Num. 52 SITES at IP 194.242.61.175
=======================================
vvv.sannicolamola.it
vvv.casalbertina.it
vvv.hotelrufolo.it
vvv.hotelpupetto.it
vvv.bluestarpositano.it
vvv.allegranzimarmisti.com
vvv.noleggisci2g.it
vvv.infoiper.it
vvv.metallurgicamotta.it
vvv.hotelmiravalle2000.it
vvv.brasseriehoublon.com
vvv.hotelmontepizzo.it
vvv.chryslersyncro.com
vvv.ituscany.it
vvv.matitablu.it
vvv.stamperiabaldan.it
vvv.silviocarta.it
vvv.metarex.it
vvv.sud-dinnerbar.it
vvv.valberti.com
vvv.ibrandoli.it
vvv.nuova3l.com
vvv.unimar.org
vvv.panguaneta.com
vvv.4-m.it
vvv.artlabstudio.it
vvv.sochive.com
vvv.rodewax.it
vvv.dolcemare.com
vvv.leottasrl.it
vvv.idloriaviaggi.it
vvv.aita-coibentazioni.it
vvv.clebari.com
vvv.difotografia.com
vvv.enricomaioli.com
vvv.ballandoballando-ge.it
vvv.barnesitalia.eu
vvv.cogegospa.it
vvv.unagro.it
vvv.vulcanair147.com
vvv.antlab.eu
-----------------------------------------
Num. 41 SITES at IP 194.242.61.177
=========================================
vvv.divinacommedia.com
------------------------------------------
Num. 1 SITES at IP 194.242.61.180
===================================
vvv.autolaghisrl.it
vvv.defmind.it
vvv.pandc.it
vvv.villadandrea.com
vvv.bioskygroup.com
vvv.pro-fly.it
vvv.mootz.it
----------------------------------------
Num. 7 SITES at IP 194.242.61.181
========================================
vvv.groovemasteredition.com
vvv.3emme.com
vvv.alrifugio.com
vvv.bb-opera.com
vvv.villafragenea.it
vvv.bottegadartetoscana.it
vvv.divinarivelazione.org
vvv.giorgioalbertazzi.it
vvv.concessionarivolvotrucks.it
vvv.technoplastic.it
vvv.autonoleggiomartinelli.com
vvv.cooperativaarchimede.it
vvv.assolaghi.it
vvv.robertocavallo.it
vvv.seakayakdesign.it
vvv.raviproductions.com
vvv.rosetofineschi.it
vvv.poletticentrocopia.it
vvv.irsina.net
vvv.discmatic.it
vvv.ilgrandecarro.org
vvv.frescolatte.it
vvv.entebacinigenova.it
vvv.atnimpianti.it
vvv.tessituragiaquinto.com
vvv.bindistones.com
vvv.sviluppoeambiente.it
vvv.hostelsinrome.net
vvv.gilasrecords.it
vvv.ghiglia.it
vvv.nas.it
vvv.newsail.it
vvv.mazzonimoto.it
vvv.alessandrocereda.net
vvv.vidalaser.com
vvv.icapitani.com
vvv.hotel-fiori.com
vvv.cmtraslochi.it
vvv.fiaipliguria.com
vvv.nerosubianco.org
vvv.iavicoli-rossi.com
vvv.pcsprint.it
vvv.deplano.it
vvv.duepuntiapertevirgolette.it
vvv.olimpiaonline.com
vvv.dataease.it
vvv.exateam.it
vvv.deplano.it
vvv.duepuntiapertevirgolette.it
vvv.olimpiaonline.com
vvv.dataease.it
vvv.exateam.it
vvv.exateam.it
vvv.baiacharter.com
vvv.studioprota.com
vvv.chiusarelli.it
vvv.nessimajocchi.it
vvv.promoarch.it
vvv.daveriopallets.it
----------------------------------------
Num. 60 SITES at IP 194.242.61.188
========================================
vvv.spaziomotoxrace.com
vvv.nuovavillani.it
vvv.aae-acquisti.it
----------------------------------------
Num. 3 SITES at IP 194.242.61.189
===================================

Riassumendo abbiamo quindi circa 200 siti con script offuscato nel range 194.242.61.1 - 194.242.61.209

Edgar

giovedì 26 luglio 2007

NEWS Version 2.0


Sto testando la nuova versione 2.01 del programma Webscanner.
Ho completamente riscritto la parte di programma che esegue la ricerca dei siti e restituisce la lista del reverse ip.
Adesso in automatico viene riconosciuto il numero di pagine restituite dal motore di ricerca web per IP e non come succedeva nella versione v1 dove il numero di pagine ricevute era fisso (2 di default)
Con questa modifica sono dimmezzati i tempi di scansione del range ip e se le pagine sono piu di una vengono tutte lette ed elaborate garantendo che tutte le url per quell IP sono passate a WGET.

Una seconda importante modifica e' sulla generazione dei report ; ora il report visulaizza i nomi dei siti raggruppati per ip. (utile per poter verificare la distribuzione di pagine con iframes e script in un range) e , anche come conseguenza della modifica del motore di ricerca , le url compaiono una sola volta senza duplicati.Inoltre se durante la scansione WGET incontra un timeout questo viene riportato a fianco della URL
Questo e' un esempio di un report di un range di siti che contengono codice script uguale alla stringa di testo visualizzata nell intestazione del report:


EDGAR

martedì 24 luglio 2007

Work in progress

Prosegue il test del software webscanner.

Il software ha trovato in circa 15 minuti di scansione 309 siti e su questi , ben 71 che presentano al loro interno lo script offuscato che punta a siti con malware...

Una particolarita' che sarebbe interessante capire e' la data dei files sorgenti delle pagine scaricate che e' in gran parte il 19 luglio 2007, adesso se questa data corrisponde all ultimo aggiornamento dei files e' impossibile che tutti i siti siano stati aggiornati manualmente il 17 luglio, la data potrebbe riferisrsi quindi al momento di una operazione di backup e restore di folder sul server??? o peggio starebbe ad indicare che tutti questi files sono stati manomessi in quella data??? (il time sui files e' sequenziale, parte dalle 21 e qrriva sino alle 22, un.altro gruppo di file risulta con data 24 luglio dalle 13 alle 13,30. Anche pensando che la data fosse presa dal server al momento del download dei files non si spiga comunque visto che non corrisponde alla data di oggi o all ora di oggi nel caso dei files datati 24 luglio...

Ecco la lista dei siti contaminati da script ottenuta con webscanner.

D:\webscan\htmtotxt\xxx.nonlavoro.net .txt,5 KB,19/07/2007 21:34:52
D:\webscan\htmtotxt\xxx.mecondor.com .txt,3 KB,19/07/2007 21:36:19
D:\webscan\htmtotxt\xxx.novachem.it .txt,10 KB,19/07/2007 21:39:47
D:\webscan\htmtotxt\xxx.cantinesonore.it .txt,1 KB,19/07/2007 21:40:03
D:\webscan\htmtotxt\xxx.museostorico.it .txt,4 KB,19/07/2007 21:40:42
D:\webscan\htmtotxt\xxx.museostorico.tn.it .txt,4 KB,19/07/2007 21:40:42
D:\webscan\htmtotxt\xxx.itcfood.it .txt,5 KB,19/07/2007 21:41:12
D:\webscan\htmtotxt\xxx.giumajeans.it .txt,8 KB,19/07/2007 21:43:11
D:\webscan\htmtotxt\xxx.diveitaly.com .txt,17 KB,19/07/2007 21:44:08
D:\webscan\htmtotxt\xxx.dataar.it .txt,7 KB,19/07/2007 21:44:50
D:\webscan\htmtotxt\xxx.newcharter.com .txt,1 KB,19/07/2007 21:45:52
D:\webscan\htmtotxt\xxx.teleinformazioni.it .txt,31 KB,19/07/2007 21:46:15
D:\webscan\htmtotxt\xxx.percossipapi.com .txt,2 KB,19/07/2007 21:49:41
D:\webscan\htmtotxt\xxx.voguecasarredo.it .txt,3 KB,19/07/2007 21:50:51
D:\webscan\htmtotxt\xxx.euroged.it .txt,2 KB,19/07/2007 21:52:02
D:\webscan\htmtotxt\xxx.seccoservice.it .txt,7 KB,19/07/2007 21:53:11
D:\webscan\htmtotxt\xxx.teleinformazioni.com .txt,31 KB,19/07/2007 21:53:21
D:\webscan\htmtotxt\xxx.scsnet.it .txt,1 KB,19/07/2007 21:55:32
D:\webscan\htmtotxt\xxx.newlast.com .txt,2 KB,19/07/2007 21:56:52
D:\webscan\htmtotxt\xxx.creability.it .txt,10 KB,19/07/2007 21:59:11
D:\webscan\htmtotxt\xxx.argentiaprodotti.it .txt,6 KB,19/07/2007 22:00:15
D:\webscan\htmtotxt\xxx.teleconsulenti.it .txt,27 KB,19/07/2007 22:00:31
D:\webscan\htmtotxt\xxx.arsweb.it .txt,2 KB,19/07/2007 22:03:01
D:\webscan\htmtotxt\xxx.eventyr-records.it .txt,2 KB,19/07/2007 22:03:44
D:\webscan\htmtotxt\xxx.magnum.re.it .txt,11 KB,19/07/2007 22:03:50
D:\webscan\htmtotxt\xxx.otticain.it .txt,4 KB,19/07/2007 22:06:16
D:\webscan\htmtotxt\xxx.oshocircleschool.it .txt,5 KB,19/07/2007 22:06:23
D:\webscan\htmtotxt\xxx.fratellicrosta.it .txt,11 KB,19/07/2007 22:08:10
D:\webscan\htmtotxt\xxx.omasoft.com .txt,2 KB,19/07/2007 22:08:22
D:\webscan\htmtotxt\xxx.hairmodeformula.it .txt,10 KB,19/07/2007 22:08:26
D:\webscan\htmtotxt\xxx.germinara.it .txt,24 KB,19/07/2007 22:08:32
D:\webscan\htmtotxt\xxx.parcoappiaantica.it .txt,3 KB,19/07/2007 22:08:41
D:\webscan\htmtotxt\xxx.monopoli.it .txt,2 KB,19/07/2007 22:09:17
D:\webscan\htmtotxt\xxx.afasia-er.it .txt,6 KB,19/07/2007 22:09:43
D:\webscan\htmtotxt\xxx.settimo.net .txt,2 KB,19/07/2007 22:11:14
D:\webscan\htmtotxt\xxx.pasqualebruni.it .txt,1 KB,19/07/2007 22:12:27
D:\webscan\htmtotxt\xxx.epd.it .txt,2 KB,19/07/2007 22:13:43
D:\webscan\htmtotxt\xxx.dylon.it .txt,4 KB,19/07/2007 22:13:51
D:\webscan\htmtotxt\xxx.termoda.com .txt,14 KB,19/07/2007 22:15:23
D:\webscan\htmtotxt\xxx.sving.it .txt,2 KB,19/07/2007 22:15:32
D:\webscan\htmtotxt\xxx.equal-dialogos.it .txt,2 KB,19/07/2007 22:18:38
D:\webscan\htmtotxt\xxx.cybercasa.com .txt,3 KB,19/07/2007 22:19:09
D:\webscan\htmtotxt\xxx.ampollina.it .txt,4 KB,19/07/2007 22:19:23
D:\webscan\htmtotxt\xxx.italian-products.it .txt,1 KB,19/07/2007 22:20:00
D:\webscan\htmtotxt\xxx.extremshoes.it .txt,2 KB,19/07/2007 22:20:52
D:\webscan\htmtotxt\xxx.steelcomp.it .txt,11 KB,19/07/2007 22:22:56
D:\webscan\htmtotxt\xxx.lagobin.it .txt,11 KB,19/07/2007 22:23:09
D:\webscan\htmtotxt\xxx.lemorghe.it .txt,11 KB,19/07/2007 22:23:09
D:\webscan\htmtotxt\xxx.promecelettronica.it .txt,15 KB,24/07/2007 13:13:18
D:\webscan\htmtotxt\xxx.spazio10.it .txt,6 KB,24/07/2007 13:13:20
D:\webscan\htmtotxt\xxx.esisrl.com .txt,13 KB,24/07/2007 13:16:00
D:\webscan\htmtotxt\xxx.morani.it .txt,10 KB,24/07/2007 13:17:27
D:\webscan\htmtotxt\xxx.marcobarbieri.org .txt,11 KB,24/07/2007 13:17:34
D:\webscan\htmtotxt\xxx.sotral.it .txt,2 KB,24/07/2007 13:17:41
D:\webscan\htmtotxt\xxx.sotral.com .txt,2 KB,24/07/2007 13:17:43
D:\webscan\htmtotxt\xxx.formazioneulisse.it .txt,13 KB,24/07/2007 13:17:59
D:\webscan\htmtotxt\xxx.kalatambiente.net .txt,14 KB,24/07/2007 13:18:15
D:\webscan\htmtotxt\xxx.aziendauslba5.it .txt,50 KB,24/07/2007 13:18:29
D:\webscan\htmtotxt\xxx.andreapagnossin.com .txt,2 KB,24/07/2007 13:19:59
D:\webscan\htmtotxt\xxx.areamare.com .txt,6 KB,24/07/2007 13:20:23
D:\webscan\htmtotxt\xxx.areamare.it .txt,6 KB,24/07/2007 13:20:26
D:\webscan\htmtotxt\xxx.motoemoto.com .txt,74 KB,24/07/2007 13:20:51
D:\webscan\htmtotxt\xxx.sigg.it .txt,18 KB,24/07/2007 13:23:52
D:\webscan\htmtotxt\xxx.studentcard.it .txt,2 KB,24/07/2007 13:24:06
D:\webscan\htmtotxt\xxx.asstex.com .txt,35 KB,24/07/2007 13:24:21
D:\webscan\htmtotxt\xxx.neldiritto.it .txt,76 KB,24/07/2007 13:26:54
D:\webscan\htmtotxt\xxx.medeacom.it .txt,26 KB,24/07/2007 13:30:54
D:\webscan\htmtotxt\xxx.spqrdipsociale.it .txt,18 KB,24/07/2007 13:31:24
D:\webscan\htmtotxt\xxx.avolta.pg.it .txt,21 KB,24/07/2007 13:31:29
D:\webscan\htmtotxt\xxx.scuolaaperta.it .txt,6 KB,24/07/2007 13:31:55
D:\webscan\htmtotxt\xxx.legnitalia-porte.it .txt,5 KB,24/07/2007 13:32:13


Il range IP esaminato appartiene a SEEWEB Hosting Company.

La lista estratta da webscanner potrebbe essere non completa in quanto webscanner acquisice il reverse IP in maniera automatica ma comunque al momento della scansione delle pagine il programma di supporto WGET potrebbe non caricare un sito per via o di timeout , di problemi di connessione o perche ' non trova la pagina con estensione htm o html.

Edgar

Webscanner tool

Premessa
In questi ultimi tempi si sente sempre di piu' parlare di pagine internet che contengono script, che in maniera non visibile, reindirizzano la navigazione del browser su siti contenenti programmi pericolosi di vario genere (spyware, trojan ecc...) che vengono scaricati sul computer del malcapitato sfruttando falle di sicurezza del browser internet.
Sulla rete ci sono ottimi siti che si interessano di questi problemi avvisando e proponendo soluzioni a questi attacchi informatici come ad esempio
http://maipiugromozon.blogspot.com/
http://www.pcalsicuro.com/
ecc....


Per creare una lista di siti che sono infetti e quindi potenzialmente pericolosi, se visitati, bisogna prima di tutto verificare se nel codice della home page (ma a volte anche in altre pagine del sito attaccato) siano stati salvati script pericolosi (molte volte anche offuscati per renderne difficile l' individuazione.)

Inoltre molti siti sono condivisi un unico indirizzo IP e quindi per poter sapere quanti e quali siti sono presenti occorre utilizzare un sito di reverse IP che generi una lista delle URL presenti per quell'IP.
Ottenuta la lista occorre verificare uno ad uno i siti scaricandone il codice cercando all interno del codice del sito la presenza di iframe pericolosi.

Il programma
Webscanner automatizza la ricerca e lo scaricamento di siti presenti in una range di indirizzi IP (vedi screenshoot) , eseguendo tutto in maniera interamente automatica ed ottenendo il codice della home page, (ridenominato in file TXT) per poterne verificare il contenuto.
Inoltre, dato che ci sono parecchi siti su uno stesso ip, webscanner offre la possibilita' di filtrare il download del codice solo per quelli che presentano all interno una determinata stringa di testo.
Una volta ottenuta la lista di siti per quell'IP il programma ne esegue una scansione scaricando la home page, verificando se contiene la stringa cercata e salvando in un folder il file txt della pagina.
Finita la scansione viene generato un file di log con le url dei siti esaminati e di quelli scaricati.
A questo punto sui file salvati si potra fare qualunque ulteriore verifica attraverso un programma di ricerca, per trovare determinati codici.




Alcune caratteristiche:
Il programma e' scritto in AUTOIT , mentre utilizza WGET per lo scaricamento delle pagine web, le dimensioni sono di circa 300K e le varie impostazioni sono salvate su file . INI.

Appena possibile rendero' disponibile la prima versione funzionante anche se da testare perche' non definitiva e con possibili bug.

Edgar