lunedì 25 febbraio 2008

Interessante sistema di ricerca spyware, malware ecc...

Il sistema che sta diventando sempre piu' efficiente per individuare indirizzi sempre aggiornatissimi di pagine con spyware, falsi antivirus, motori di ricerca di dubbia affidabilita', siti che distribuiscono malware.... , sembra quello di andare a visionare qualche sito di Amministrazione Pubblica Italiana.
Infatti, non sono pochi e se ne aggiungo giornalmente (qui sotto una new entry) i siti di Comuni, in modo particolare, che hostano pagine con link a siti inaffidabili, oppure tramite forum e guestbook, visualizzano aggiornati links.
La possibilita' che questo fenomeno cessi e' praticamente nulla, in quanto oltre alla comparsa di nuovi siti comunali con i problemi visti sopra il tentare di informare webmaster o chi amministra questi siti si risolve quasi sempre in un nulla di fatto.
Questo succede sia per siti che sembrano abbandonati da chi li gestiva ( pagine con vecchie date e notizie di anni passati) ma anche per siti che sembrerebbero aggiornati ad oggi.
Come detto prima vediamo una new entry nella lunga lista (centinaia) di pagine di Comuni compromesse in qualche maniera o comunque utilizzate per linkare altra pagine dubbie.

Comune di Crucoli Pro Loco Aggionato 2008 e con post ad oggi


Notate il numero dei post effettuati e le date aggiornate
Come si vede gli screenshot si commentano da soli.

Vediamo invece come puo' essere utile un link presente inn folder di un comune per trovare e verificare nuove pagine di dubbia affidabilita'

Questo e' un risultato di una ricerca che visualizza le url di sito web comunale con file .jsp

Visitando questo indirizzo, con attivo il referer relativo al motore di ricerca che ci ha fornito i risultati, vediamo che si viene linkati ad IP in maniera random.

Basta cambiare l'ultimo numero dell'ip 8.151.113.xxx in un range che varia da .9 a .14 per avere un campionario di diversi layout di pagine di ricerca. Sugli stessi IP sono presenti domini con nomi simili tra loro : find.tj, find.tl, ecc. tutti che linkano a pagine di motori di ricerca.

Notate la piccola icona che ci ricorda il logo Microsoft

Inutile dire che le diverse pagine visualizzate sono tutte di dubbia affidabilita'; basta guardare le ricerche che ci propongono : pharmacy, siti porno ecc....

Un whois degli IP di questi siti punta a

sul cui genere di siti hostati non ci sono dubbi esaminando alcuni IP del range ottenuto dal whois


Edgar

3 commenti:

GmG ha detto...

Per quanto riguarda i siti con Zope ne parla anche il blog di TrendMicro
http://blog.trendmicro.com/plone-sex-anyone/

a quanto sembra la vulnerabilità non è di Zope ma di Plone.

Edgar Bangkok ha detto...

Grazie della segnalazione
Pubblico un post di aggiornamento

Sarebbe interessante anche sapere quale e' il blog italiano a cui si riferisce trend micro...

Edgar

maverick ha detto...

il tuo :-)