mercoledì 28 luglio 2010

Siti .IT compromessi (agg. 28 luglio)

Continua la presenza in rete di siti compromessi con inclusione di semplice file di testo al loro interno in folders, sul sito attaccato, sempre con il medesimo percorso
Si tratta di siti sviluppati in DotNetNuke che presentano pagine come quella che vediamo in questo attuale screenshot

dove notiamo il file txt incluso.

Come gia' visto in passato il sistema per includere il file e' quello di utilizzare una vulnerabilita' presente da tempo su versioni non recenti della piattaforma di sviluppo.

In questa schermata,sempre riferita allo stesso sito IT compromesso visto prima si puo' notare come il file TXT incluso appaia nel menu dell'interfaccia di amministrazione dei contenuti DNN in buona compagnia di un file ASP con doppia estensione che, come vedremo alla fine del post, e' una delle conseguenze 'pericolose' di questo genere di attacchi.


Per capire come mai quasi quotidianamente troviamo online siti IT sviluppati in DNN che presentano inclusi files testo di hacking (e molto spesso allegata shell comandi in codice asp con doppia estensione di file immagine), facciamo qualche ricerca piu' approfondita.

Ecco come si presenta un reverse IP di un range esteso per una ventina di indirizzi, appartenenti a noto hoster italiano che ospita siti sviluppati in DNN proprio su una serie di IP contigui.

Abbiamo circa 8.000 ( ottomila ) URL rilevate che , anche se non tutte fossero appartenenti a siti DNN, rappresentano comunque un numero notevole di siti da analizzare.

Passiamo ora tramite il tool Webscanner a 'tentare' il download di un eventuale codice presente all'indirizzo corrispondente a quello dell'interfaccia sensibile all'exploit.

Se il codice della pagina e' raggiungibile, il software CURL utilizzato da Webscanner provvedera' a scaricare il sorgente e creare la relativa lista delle url potenzialmente sensibili all'attacco.

Ecco il risultato per il primo (ed unico almeno al momento) IP analizzato e facente (piccola) parte del range degli 8.000 siti presenti nel range del reverse IP eseguito in precedenza.

Come possiamo notare, una volta opportunamente filtrati i risultati, otteniamo 68 siti che presentano l'interfaccia di amministrazione remota dei contenuti che e' attivabile da browser.

Essendo disponibile l'interfaccia e' molto probabile che se non tutti, una buona parte di questi 68 siti, siano vulnerabili un upload di files da remoto.

Il problema piu' serio non sta tanto nel fatto che si includa un file testo ma che , con l'uso della doppia estensione, si possano uploadare codici malevoli di vario genere, shell comandi compresa, come vediamo in questo screenshot di sito DNN compromesso ormai da qualche mese.

Edgar

9 commenti:

maverick ha detto...

Ciao edgar

Mi fai una scansione su questo ip
62.149.130.146

Un sito risulta compromesso.
E temo sia il solito attacco a migliaia di siti italiani

Il server è dei soliti cialtronacci di aruba
Grazie

Maverick (maipiugromozon)

Edgar Bangkok ha detto...

Ben risentito dopo tanto tempo

Sara' un caso ma anche il range IP che riguarda questo post appartiene prorpio a .............

Adesso verifico il tuo IP

Ciao

Edgar

Edgar Bangkok ha detto...

Il reverse ip di 62.149.130.146 mi propone circa 600 urls
Una analisi con webscanner rileva solo areaticino(dot)com con incluso uno script offuscato simile a quelli presenti in passato su servers Aruba ( con uso di API twitter ...ecc.. e stringa caratteristica $a=Z63...ecc... nel code java offuscato).
Non so e' era il medesimo rilevato da te come codice malevolo e come url..
Eventualmente dimmi se tu avevi trovato qualcosa di diverso come codice malevolo e/o sito compromesso.
ciao
Edgar

Edgar Bangkok ha detto...

Come ulteriore analisi trasferendo il source di areaticino(dot)com su VT abbiamo questi (pochi) risultati

AVG 9.0.0.851 2010.07.28 JS/Tweet

Emsisoft 5.0.0.34 2010.07.28 Trojan-Downloader.JS.Twetti!IK

eTrust-Vet 36.1.7745 2010.07.28 JS/Twetti.A

F-Prot 4.6.1.107 2010.07.28 JS/Agent.MB.gen

Ikarus T3.1.1.84.0 2010.07.28 Trojan-Downloader.JS.Twetti

Microsoft 1.6004 2010.07.28 VirTool:JS/Obfuscator.M

maverick ha detto...

grazie edgar.

Il sito che avevo trovato è stato bonificato subito perche' si tratta di una community.

I siti associati sono piu' di 900 per quello che ho potuto verificare io.

comunque puntava qui vderukmvfds.com ma sicuramente era offuscato

maverick ha detto...

qui ci sono anche altri siti compromessi 62.149.140.93
62.149.140.94


corriereweb.net/,
annunciamo.it/

Solito attacco multiplo ad aruba

maverick ha detto...

anche altri

mondocasablog.com/, mondobenessereblog.com/, emusicblog.it/


vabbe'

Che schifo aruba

maverick ha detto...

62.149.130.22
www.filosofico.net/

Edgar Bangkok ha detto...

Questa mattina lancio una scansione in un range su 62.149.140.xxx e vediamo cosa salta fuori

Edgar