martedì 5 febbraio 2013

Siti di scuole IT compromessi (5 febbraio)

La distribuzione di links a siti di dubbia affidabilita' si avvale spesso di links proposti ai motori di ricerca attraverso siti compromessi con l'inclusione di codici che attivano, se la pagina e' visitata dal bot del motore di ricerca, centinaia di collegamenti a pagine con contenuti porno, vendita pharmacy, vendita di merce contraffatta ecc...
Inoltre come succede spesso in questi casi se chi vuole distribuire i links trova vulnerabilita' presenti in uno o piu' siti sul medesimo indirizzo IP e' probabile che approfittera' della cosa includendo i codici malevoli su molti dei siti presenti a quell'indirizzo IP.

E' il caso di tutti o quasi i siti di Istituti scolastici IT presenti su IP


che come vedremo da un reverse IP e successiva analisi mostrano essere compromessi.
Ancora una volta i codici inclusi oltre che a gestire i links 'aggiunti' alle pagine ne attivano la visualizzazione 'solo' a chi accede alle stesse con 'User Agent' di motore di ricerca mentre per gli accessi con user agent di comune browser la pagina caricata e' visualizzata normalmente, senza mostrare le centinaia di links.

Questo  il sito scolastico come viene visualizzato utilizzando User Agent  GoogleBot


con,  nella parte bassa della pagina, molti link con testo di riferimento che ritroveremo poi nelle ricerche on-line. 


Per evidenziare meglio la quantita' dei link proposti ecco la visione complessiva della homepage


Come si diceva, facendo un reverse IP, si trovano altri siti scolastici al medesimo indirizzo, con uguali links inclusi:


ed anche


ed ancora 


E' probabile che detti links, che al momento parrebbero essere non piu' attivi, rimangano nelle pagine per parecchio tempo in quanto per un visitatore e per chi gestisce i contenuti del sito, i links risultano nascosti.
Resta comunque il fatto che questo genere di attacco dimostra la presenza di  vulnerabilita' sfruttata per compromettere quanto ospitato su questo indirizzo IP, vulnerabilita' che potrebbe essere nuovamente usata in un prossimo attacco.

Edgar

Nessun commento: