lunedì 2 giugno 2008

Datasport.it hacked

Juninho85 mi segnala che il portale italiano di sport Datasport presenta messaggi di hacking.
Ho verificato ed in effetti, attualmente, sono numerose la pagine su dominio datasport.it che presentano il messaggio “hacked by RedRolix .......”

ed anche

Ecco un parziale report generato dal mio tool in Autoit che utilizza la “links list” dell 'addon Web Developer Toolbar di Firefox

Non solo le pagine di Datasport sembrerebbero avere simili problemi ma anche su altri siti, in cache di Goggle, si ritrovano tracce di questo hacking
Ad esempio su Tgcom Mediaset (in Google cache) , abbiamo questo messaggio ....

Ma anche sulla pagina di indirizzi di Hotels, ecc....

L'analisi de codice sorgente delle pagine colpite non rivela altri problemi a parte la scritta di hacking il che fa pensare che si tratti solo di una azione dimostrativa come avviene quotidianamente anche su parecchi siti .IT , ma che non comporta l'uso di scripts o link a malware ma solo di messaggi che segnalano l'avvenuto hacking.

Rimane comunque la gravita' del fatto in quanto dimostra una vulnerabilita' dei siti o dei server che li ospitano che potrebbe essere sfruttata per azioni ben piu' pericolose. (redirect a malware, pagine con exploit ecc...)

Edgar

3 commenti:

Juninho85 ha detto...

Nel momento in cui scrivo il sito è stato ulteriormente violato:presenti redirect ai siti http://www.view89.com/b.js
http://www.encode72.com/b.js
http://www.exec51.com/b.js
http://www.sslnet72.com/b.js
http://www.sslnet72.com/b.js
http://www.sslnet72.com/b.js
http://www.win496.com/b.js
Tali script se non ho letto male(putroppo a lavoro non ho i mezzi adatti ad approfondire la cosa)reindirizzano a un falso antispyware e,cosa più pericolosa,a domini in cui è hostato l'MBR Sinowal.
Ho già provveduto a segnalare la cosa a datasport.it.
Avira premium con webguard attivo non segnala nulla di anomalo riguardo lo script

Edgar Bangkok ha detto...

Vedo un attimo ...
Grazie della segnalazione
Edgar

Edgar Bangkok ha detto...

Sto esaminando con webscanner l'IP di DATASPORT e non solo datasport.it ma amche altri siti sullo stesso IP sono zeppi di scripts