Sempre lo stesso personaggio (o gruppo) segnalato in diversi precedenti posts parrebbe essere l'autore di una nuova inclusione di codice html su un notevole numero di siti IT ospitati dallo stesso hoster, ma diverso IP range, gia' visto QUI.
Si tratta di ben 156 siti rilevati da un reverse IP su
che includono una semplice pagina, dal layout gia' visto in alcuni casi simili il mese scorso.
Questo il report generato da script Autoit
Si nota anche la presenza di una pagina
derivata da precedente azione di hacking.
L'IP rilevato evidenzia che si tratta dello stesso hoster che compariva in una precedente analisi di siti compromessi a fine agosto, ma su differente IP.
Sempre in riferimento al caso precedente si nota come ancora una novantina di siti presentino la pagina inclusa.
C'e' da considerar, comunque, che essendo pagine incluse e nascoste non e' facile che chi amministra il sito colpito si accorga della presenza delle stesse, ed inoltre, almeno nel caso odierno, parecchi dei domini che includono la pagina di hacking parrebbero appartenere a siti in costruzione, in manutenzione o non attivi.
In ogni caso si tratta di azioni di hacking che, anche se non alterano le funzionalita' dei siti colpiti (le homepages sono raggiungibili senza problemi), evidenziano comunque vulnerabilita' che potrebbero essere usate a supporto di phishing, distribuzione malware ecc.....
Edgar
Nessun commento:
Posta un commento