Distribuzione di link a siti di pharmacy attraverso siti IT compromessi. Alcuni aggiornamenti con uso di 'referrer' ed 'User Agent' (6 agosto)

Ritorno brevemente su una attuale distribuzione di links a sito di pharmacy attraverso azione di SEO poisoning che vede coinvolto anche un sito su dominio .GOV.IT

C'e' da rilevare che comunque un whois del sito .GOV.IT analizzato punta ad hoster del Nord Italia e non ad hosting usualmente utilizzato per siti istituzionali IT.

Vediamo alcuni dettagli analizzando una ricerca attuale Google

che vede coinvolto, oltre a molti siti di Universita' Italiane, questo sito di cui vediamo lo screenshot di una delle pagine

Da notare anche, come caso particolare, che una ricerca in rete passando a Google anche solo il nome del sito,

mostra questi risultati (indicizzazione attuale), che in ogni caso, essendo generati attraverso stringa di ricerca che non include termini di pharmacy (es. viagra.) portano ad aprire semplicemente una reale pagina del sito.
In altre parole se la nostra chiave di ricerca non include tipici termini associati a siti di pharmacy (es. il termine 'viagra' )

pur con testo di pharmacy visualizzato nei risultati Google, non viene generato un referrer appropriato e quindi non veniamo linkati al sito di pharmacy ma visualizziamo il sito legittimo

e viceversa

con redirect a sito di pharmacy


Questo conferma che, come comunque gia' osservato in altri casi, e' necessaria sempre la creazione di un referrer composto per attivare il browsing ed il redirect automatico al sito di pharmacy USA.

Se infatti settiamo un referrer con stringa relativa sia al nome del motore di ricerca ma in piu' anche es. la parola 'viagra'

facendo un refresh della pagina otteniamo

ossia in pratica la conferma che con una ricerca Google che includa anche la stringa di testo 'viagra' viene eseguito il codice incluso nel sito ed il redirect automatico al sito di pharmacy.

Per capire meglio cosa e' stato incluso nel sito compromesso possiamo comunque anche simulare una 'visita' allo stesso da parte del motore di ricerca e precisamente dello Spider Googlebot, passando un user agent appropriato ed ottenendo

Questo e' quello che il bot di Google vede 'visitando' il sito e precisamente delle pagine con molti links sempre ad altre simili sul medesimo sito e con testo scelto per creare il maggior numero possibile di risultati di ricerca utili a linkare in automatico al sito di pharmacy Canadian Healthcare.

Edgar