Esaminando una pagina di phishing hostata su sito IT compromesso, online ed attivo, risulta evidente come i problemi del phishing non si fermino solo al fatto che si possano acquisire i nostri dati personali , ma in molti casi venga messa in pericolo l'integrita' dei siti ospitati sul medesimo server (sia siti privati che pubblici come alcuni di Comuni IT in questo caso)
Questa la pagina di phishing ai danni di un istituto finanziario canadese
hostata su questo server IT, all'interno di sito che si occupa di fotografia
Come si nota dal whois sullo stesso ip sono presenti piu' di 250 siti.Esaminando la struttura del sito di phishing abbiamo
dove si nota subito un file php con data molto recente rispetto agli altri presenti e che coincide con la data del folder creato per ospitare il phishing 'canadese'Si tratta di un semplice codice php che se eseguito, permette di accedere al sito compromesso e con il quale e' stato presumibilmente uploadato il codice del sito di phishing......
ma anche spostarsi tra i vari folders e siti web presenti sul server in questione
ed in dettaglio
Una delle opzioni presenti, eseguendo il codice php, permette di scaricare un qualsiasi file all'interno di un qualunque sito sul server sempre che il folder da utilizzare abbia il permesso di scrittura abilitato.Un elenco dei folders con scrittura abilitata anche per il 'visitatore' si puo' tra l'altro facilmente ottenere con un semplice comando 'find' sempre utilizzando la shell php
comando che ci mostra centinaia di 'posti' possibili dove poter uploadare i files per i piu' svariati utilizzi (phishing, pagine nascoste con redirect, links a malware ecc......)Edgar
Nessun commento:
Posta un commento