I reports presentano questa volta in chiaro le urls dei siti coinvolti per permettere a chi li amministra e visitasse il blog di esserne informato e provvedere alla loro bonifica.
Ricordo che si tratta di script probabilmente attivi e quindi pericolosi e che vanno analizzati solo prendendo tutte le precauzioni del caso.(sandboxie, pc virtuale, noscript ecc....)
Ricordo che si tratta di script probabilmente attivi e quindi pericolosi e che vanno analizzati solo prendendo tutte le precauzioni del caso.(sandboxie, pc virtuale, noscript ecc....)
Ieri sera (28/7) Maverick (del blog maipiugromozon) mi segnalava questo IP 62.149.130.146 dove aveva rilevato un sito compromesso chiedendomi di fare alcune scansioni per verificare la presenza di altri siti con codice javascript offuscato incluso
Questi i risultati di alcune parziali scansioni relative a diversi IP sempre per il medesimo hoster:
Evidenzio il fatto che sono scansioni 'parziali' dato che il numero totale di siti trovati con reverse IP potrebbe essere minore di quelli realmente presenti su specifico IP e quindi alcuni siti compromessi potrebbero non apparire sul report generato da Webscanner
Su IP 62.149.140.94 abbiamo
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg9KYMre9Ki1IqqffQ_fSJ4Yh2EEjtT62hMMU4tDZlcYS94k46K0kYsDArS3lakiVJXh-yd9qB7ZD8pmjH9DyfOoS97C090g-QqBZaI9SL7mIQp6j4oaor-6-FhJLKC2Fp-92JWnqNXiS4/s320/webscanner+140+94.jpg)
Su IP 62.149.140.93 troviamo invece questi siti con evidenza di codice java incluso offuscato
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjcQ5_6NVcO8Iw4-I4zbJ0fdyiihODW8ZM9hmX7vkGPS0TvM4YhfBjrIU8qF8Udns_NbpViSDidOaa1x1y70DGI4b3i_axddTcPdwwcE2YNuJQCYGkcYpGKdDs7sx2fJX1OOj5fKtqMGCE/s320/webscanner+140+93.jpg)
I risultati della scansione mostrano che un buon numero di siti e' ancora (o piu' probabilmente nuovamente ?) compromesso.
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEisA7QXIGodrTul8uY4woWWG3vNXwND0w2epfh_PqnhHA1hrbZ1IQWD-JGHVdJ7IWn3Yg1zrlY1jZmRvFGv19rup_VnusxvoLTsSYEy6nUcxXxrg62EkB3SzBvSRWcyI7qXtSNFk-bj-xs/s320/old+lista+webscanner.jpg)
Ad esempio analizzando i codici javascript presenti in questo specifico report, solo quello di beachsolaire(dot)it e' leggermente diverso
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjt0rW5GWXeRlFfTQP53PKktVEDdOM124bec7PZW5cYZz7-3dO1mRcKREq04SC_nTlgbbrgNBj7YJod2vn9zuSf4mDcHwDjEXp6NG_tFhAtWfmLGQOkWjrB0NjyKSUh5pRSAH3VPp_YhvA/s320/beachsolaire+java+diverso.jpg)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgbAkLYuQ11b-2BATlaaCj_UKSUOiRiSnU8yAVjOjsQTj6LOh3pnDAYkUrbf2Ewml-H4zHTbLV2ynR2dhDZYqpHxxbdIrq22TVD2PZy3BhxDzjaMuj5Xt5Ix0wkuBqNUDCgNQh6ATzk5KQ/s320/beachsolairelasrmod.jpg)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiORUZ6-q04ly4V2w2QMnrV7RoC8k097KnXSaAqv1ErhReJr-F31DD3UH9OSBlIvvtfsDtUZbLUsPUSAh6UJpfnKGppH1J1ooka2N90ggqg52WQdlMpdNZnpdmXV4fn3vOQbjWzRq_LvoA/s320/medicinelab+javaoffusc.jpg)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiS5hgzWhU1jxHuMh5Q9GV-NKveGn2HGbWmHpMUuzRnsHtxcyNFuShZ05qH3UO4JfGOoNmHAKfZgAC6EH1rTd0v3vF56LpBv9cJpTWr6hpjFZDNAq_omRHZPw9MbY9FxHSunRHdtNsQd04/s320/headers+medicinelab.jpg)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhOpYk6pu9CRlWujJ2xsSgsPzohjEHI3Rg-JocTXWwmMOk1KwjCerJl_b0QAZlDOLgQDfk-FXS_461kN-vxV8EZgcIiv0-udU8bUlNTfdFMvPYu4-Sxtyz3Ala5AdbVgQ1Y7_ZUWRB3BVI/s320/vt+beachsolare.jpg)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiK0ge9UHgynhsb6w6Nog_KlLhs9WdNx_DfD6tmDQeAyuFa0ZxgZ9fHRg9o8tZGabN4viCTMUz88ZuU2aHUcXjKIuBkdtAzDpubXVVIBblI2l-qRpPtFKdbH8DZLOW7winsuWidP2g2KA0/s320/vtmedicinelab.jpg)
Questa invece la provenienza degli IP dei 'vecchi siti compromessi' che continuano ad esserlo a tutt'oggi e che sono distribuiti in maniera abbastanza estesa su diversi indirizzi.
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhXCeeli3q67mEeJSpz-9kyzStFbMUbSbWc-u28WNDf5Nn3FDZdG7OOTrcz2GDp4NizDO0NzHYjnmZ9GZZqtf1JnZD6f-kcIiritvokJQW2fz2qXC_EVy2nPcV8o67jsQqVyp52gnrytf8/s320/old+lista.jpg)
Rilevante e' come questo script
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEipuMs5pV3KtQWEZli_pDhKn6KhUDE2gxmtaRc4dxibgHrQn-Kk9vTbqrRvbIRSgmTJkdNto733Oq4EMae3n9I1fpj6rI__SZwTru0mrm-P8_HTjBR8DKFqKASxjhcpI3WQcJ_BLASdU0k/s320/su+93+last+modified.jpg)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjWI38X0QVyhvDdcbRc73IQWLzyBeLSZ79N44mML_aMzipoeSqISQwfa_X4QtCfe4e3ChBhbfj5JuCMCJYV-s9byj5-SwYza5ZYKcDAkwtW0T_68Ml07ayI3OVcSyq3yOVqxuCkkHqrvaA/s320/27+07+diverso+code+thepagefront+VT..jpg)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgO6wqhbPjaAUSc5K2aYBEErPV1ffigKAhdzWVmAVOYb-giwsrbFPcaQCF1awD4f9g-gHLzjTv64LgxW_A6P2PoWTUzgLwdUzKXCJHDIUXWuA_1WXyUSjXeF1YrJgHz8JWXEIi3eGrC_fk/s320/su+93+last+modified2.jpg)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhPa_RfE27fuMzn7tsKe2wy3vptwHvsaCfyyABiWjqSjcD8_wXSfuUzv-CV0VGm4vSVxVogBeuYgE3pwyeJEsuDGs9PPkNY_-GaNZCKTKSaciV_iAvkKr4Br23Rxf4E9rUz-2-wpA0VdNg/s320/dazebao+28.jpg)
Tutto questo fa comunque pensare che oltre a nuovi siti attaccati ci sia anche una parte di vecchie pagine che erano presenti nei report di attacchi ad inizio anno, che attualmente sono, almeno in parte, nuovamente prese di mira da chi vuole distribuire links a malware.
Da evidenziare anche le diverse risposte AV ad una analisi VT dei sorgenti delle pagine dei siti compromessi.
Edgar
Nessun commento:
Posta un commento