venerdì 25 settembre 2009

Ancora pagine incluse con links a falsi scanners AV

Sono decine i siti anche .IT che ogni giorno vengono compromessi con l'inclusione al loro interno di pagine web con links a falsi AV, malware ecc....

Lo scopo e' sempre il solito e cioe' generare il maggior numero possibile di links, (in questo specifico caso a falso AV), come risultato di una ricerca in rete.

Ecco un dettaglio di una ricerca :

Come vediamo, a questa continua e attiva 'campagna ' di inclusione pagine non si sottraggono i siti di Amministrazione Pubblica come ad esempio questo di Comune italiano

con whois
Attualmente nel sito sono incluse decine di pagine (ecco un parziale report)

come questa



che presentano il 'solito script debolmente offuscato”,

ancora piu' semplice dei precedenti, e che decodificato

punta a falso scanner con il consueto layout ' standard' usato attualmente in rete:


ed hostato su diversi IP, come si vede dallo screenshot.

Una analisi VT mostra che il file eseguibile e' al momento praticamente sconosciuto, ai softwares presenti in VT


Si tratta comunque di un eseguibile che in questi giorni sembra essere diffuso in rete da diversi falsi scanners AV e che muta frequentemente il codice per eludere il riconoscimento.

Edgar

3 commenti:

Andrea Giglietti ha detto...

Ciao Edgar, ne sono stato (e ne sono) vittima anche io con il mio mio sito (.it), ma non riesco a trovare il modo in cui riescono ad includermi le pagine. Hai idea di come poter fermare questi continui attacchi? Il mio hosting continua a dire che i loro sistemi sono a posto, ma sinceramente comincio ad avere dei forti dubbi in merito...

Edgar Bangkok ha detto...

Non so con cosa hai sviluppato il sito ma il consiglio che ti posso dare, vedendo i casi di siti compromessi che ci sono in giro, praticamente tutti i giorni, e' quello di :

1)Cambiare tutte le password usate (es FTP ) quando aggiorni il sito .(e' gia' successo che chi compromette siti venga in possesso di password di accesso )
2)Aggiornare all'ultima versione disponibile l'ambiente di sviluppo che usi per il sito (penso ad esempio alle decine di siti che usano versioni bacate di Joomla, ecc... .) ed anche evitare di usare estensioni non ufficiali che potrebbero essere fonte di vulnerabilita'.... nel caso ne vengano utilizzate.
3)Visitare il sito ufficiale del software che usi per gestire il sito e verificare che la tua versione installata sia l'ultima con tutte le patch pure aggiornate
4)Ripristinare comunque dopo eventuali aggiornamenti software, una copia pulita del sito (se hai un backup) per evitare di avere qualche codice pericoloso non rimosso....

C'e' anche la possibilita' che un sito vulnerabile, non il tuo, ma di qualche utente del server, permetta l'ingresso al server con i privilegi limitati e poi sfruttando un bug del sistema operativo l'attaccante ottenga i privilegi di root e possa accedere ad ogni sito creando il danno. In questi casi ,di solito, non c'e' un solo sito compromesso ma e' probabile che sullo stesso server siano in molti ad avere problemi.

Saluti

Edgar

Andrea Giglietti ha detto...

Il sito è un forum, con piattaforma sul quale contribuisco allo sviluppo, e che quindi conosco abbastanza bene.
La cosa strana è che tutti i file sono puliti, e lo script che hanno usato per il redirect al sito dell'antivirus (total seurity) non è presente in nessun file. L'injection avviene casualmente, lavorando sui cookies, ma non riesco a capire come venga inclusa proprio perché non è rilevabile in nessun file, ed avviene in pagine casuali nel sito.
Ho provveduto per la seconda volta a ricambiare tutte le password, ma dubito che serva. Ho anche io il sospetto che sia infetto qualche sito nel server e che permetta di bucare anche gli altri, o che lo stesso server abbia qualche falla in grado di pemrmettere questo tipo di injection.