mercoledì 30 ottobre 2013

Siti IT compromessi. Una odierna azione di 'mass defacement' (30 ottobre)

Questa mattina (ora thai) abbiamo in rete, ai danni di siti .IT, quella che appare essere una tipica ed estesa azione di 'mass defacement' che colpisce 89 dei 98 siti rilevati da un reverse IP su


Questo un report Autoit che mostra


con una elevata percentuale di homepages sostituite da 


Una analisi del 'response header' di alcune delle homepages compromesse mostra


con evidente riferimento a poche ore fa per l'azione di 'mass defacement'.

Edgar

martedì 29 ottobre 2013

Inclusione di pagina di hacking su siti .IT (29 ottobre)

Numerosi siti .IT con IP 


includono attualmente questa pagina di hacking


Ecco il report generato da script Autoit


mentre una analisi del response header delle pagine incluse mostra probabile data recente per l'azione di hacking.


Edgar

lunedì 28 ottobre 2013

Siti IT compromessi con l'inclusione di links a pagine di giochi d'azzardo, ecc... (28 ottobre)

Recentemente abbiamo visto come il Pharmacy Hacking sia una delle pratiche piu' diffuse in rete allo scopo di linkare siti di vendita di medicinali.
Naturalmente la possibilita' di compromettere siti per includere collegamenti a pagine di vario genere non si limita solo al fenomeno Pharmacy ma coinvolge differenti 'generi' tra cui i links a siti con contenuti porno ma anche links a pagine di giochi d'azzardo.
Un altra tipologia di links inclusi e' quella a vendita di oggetti 'copia' di originali marchi di moda ma anche vendita a basso costo di software fatto passare per 'originale' ma di dubbia provenienza.

Come accade per il Pharma Hack chi vuole accrescere la presenza dei links nei risultati delle ricerche in rete include codici, spesso offuscati, in siti legittimi e questi codici generano in automatico riferimenti ai links che si vuole 'pubblicizzare' ma solo quando il sito compromesso e' visitato dal bot del motore di ricerca.

Vediamo alcuni esempi che coinvolgono siti IT.

Su questo server IT


troviamo, con un reverse IP, diversi siti IT i cui sorgenti scaricati attraverso tool Autoit e forzando come User Agent il bot di Google mostrano: 


Qui un sito comunale che, con user agent Google Bot, evidenzia attualmente al top della pagina centinaia di links e riferimenti a gioco d'azzardo, mentre nella parte bassa dello screenshot e' presente il legittimo layout.


Questo il sorgente con in evidenzia links e parole chiave


Ecco un'altra homepage sempre sullo stesso IP il cui layout conferma hacking con stesse caratteristiche del caso precedente


Su IP francese ma sempre con dominio IT 


questo sito con analogo layout 


Ancora, su IP italiano 


questo sito di arredamenti la cui homepage, sempre usando user agent Google Bot risulta completamente alterata da riferimenti e links a gioco d'azzardo.


Edgar

domenica 27 ottobre 2013

Siti IT compromessi. Una odierna azione di 'mass defacement'.Aggiornamento (27 ottobre)

Continua l'azione di 'mass defacement' segnalata nel precedente post e che vede un notevole aumento del numero di siti su IP


con l'homepage sostituita da una una pagina di hacking.

Rispetto alla scorsa volta appaiono, oltre a quelli gia' rilavati, diversi nuovi layout che farebbero pensare anche ad altri personaggi che gestiscono i nuovi defacement.


In dettaglio abbiamo  (layout gia' analizzato in precedenza)


ed anche


oppure



e


ma anche questa  homepage che pur non venendo sostituita contiene al suo interno parti di testo modificato con scritte di hacking


Inoltre praticamente tutti i siti colpiti la volta scorsa (vedi qui) rimangono con la homepage non raggiungibile e presentano sempre il layout di hacking, indicando che probabilmente si tratta di siti non piu' amministrati da chi li ha creati o al limite amministrati saltuariamente.
Ecco un report degli screenshot catturati in automatico tramite elenco generato con script Autoit 


con la dimostrazione del buon numero di siti IT coinvolti.

Edgar

giovedì 24 ottobre 2013

Siti IT compromessi. Una odierna azione di 'mass defacement' (24 ottobre)

Una nuova azione di 'mass defacement' colpisce attualmente alcuni siti hostati su


Questo un report generato da tool Autoit e relativo all'indirizzo IP colpito che mostra differente codice di hacking in un caso come


con pagina


mentre per i restanti siti 


con pagina che presenta una scritta con animazione



Edgar

mercoledì 23 ottobre 2013

Siti di PA italiana compromessi con azione di hacking che rivela ulteriore presenza di Pharmacy Hack.(23 ottobre)

Segnalati in rete questa mattina (ora thai) alcuni siti comunali del Sud Italia che presentano inclusa pagina di hacking.


Come vedremo nell'analisi la presenza di vulnerabilita' per i siti coinvolti non parrebbe essere nuova in quanto una ulteriore ricerca rivela che gli stessi siti appaiono compromessi con azione di Pharmacy Hacking includendo links ad altri siti IT con gli stessi problemi.

Singolare e' come uno dei link di Pharmacy Hack rilevati, punti a sua volta, a sito comunale del Nord Italia che si presenta compromesso e sul cui stesso hosting appare anche sito di Liceo con inclusione di links a Pharmacy.

Riassumendo abbiamo 

1) alcuni siti comunali (su medesimo IP) compromessi con inclusione di codice PHP che mostra pagina di hacking
2) gli stessi siti risultano essere colpiti da precedente e tuttora attiva azione di Pharmacy Hack
3) i link di Pharmacy puntano a loro volta a sito comunale del Nord Italia , a sito di universita' italiana ecc..... tutti con inclusione di collegamenti a Pharmacy.
4) il sito comunale del Nord Italia e' hostato su server che ospita, a sua volta, sito di Liceo pure compromesso con inclusione di links a Pharmacy.

Una dimostrazione quindi, di probabili vulnerabilita' che vengono sfruttate per differenti azioni di compromissione (inclusione di pagine di hacking, inclusione di links a Pharmacy, ecc....) e di come chi vuole distribuire links a vendita online di medicinali attivi collegamenti che coinvolgono, 'in cascata', piu' domini 

Vediamo alcuni interessanti dettagli:

Questa una analisi con script Autoit 


che rivela alcuni siti comunali su IP


con inclusa questa pagina di hacking


Procedendo ad una ulteriore analisi dei contenuti per rilevare altri codici inclusi e/o links presenti troviamo numerosi collegamenti a Pharmacy.

In dettaglio vediamo un report Autoit che rivela come due dei siti Comunali visti prima ed un ulteriore sito che si occupa di analisi ambientale del territorio 


presentino molti links anche ad ulteriori siti IT compromessi da Pharma Hack.

Ecco un dettaglio di uno dei siti comunali utilizzando User Agent Google Bot per evidenziare l'azione di hacking.


Si nota la presenza di collegamenti ad altri siti, anche IT, che a loro volta risultano compromessi da azione di Pharmacy Hacking.

Questo un frammento del codice


dove a venire linkato e' ancora un 'sito comunale' ma, questa volta, del Nord Italia.

Qui vediamo come attraverso l'utilizzo di appropriato User Agent la sua pagina presenti i menu' alterati da termini di Pharmacy (notate il lungo testo in lingua italiana con inclusi termini di Pharmacy allo scopo di agevolare l'indicizzazione da parte del Bot del motore di ricerca)


mentre questo e' un whois del sito


Come succede spesso se analizziamo con reverse IP gli altri siti presenti sullo stesso IP del sito comunale visto ora, non c'e' da sorprendersi se troviamo  un ulteriore sito , questa volta di Liceo, con presenza di links a Pharmacy


Come curiosita' possiamo anche rilevare tra i links presenti sui siti comunali del Sud Italia da cui eravamo partiti con l'analisi, anche un collegamento a dominio di Universita' Italiana con questa pagina (notate anche in quest caso il lungo testo in lingua italiana con inclusi termini di Pharmacy allo scopo di agevolare l'indicizzazione da parte del Bot del motore di ricerca)


con altrettanto evidenti segni di Pharmacy Hacking.

Edgar

martedì 22 ottobre 2013

Inclusione di pagina di hacking su siti .IT (22 ottobre)

Numerosi siti su dominio .IT ma che un whois indica hostati su IP contigui appartenenti a


includono attualmente questa pagina di hacking


Ecco il report generato da script Autoit


mentre una analisi dell'header delle pagine incluse mostra probabile data recente per l'azione di hacking.


Edgar

lunedì 21 ottobre 2013

Pharmacy Hack ai danni di siti di PA italiane. Aggiornamenti (21 ottobre)

Sempre molto attivo il Pharmacy Hacking ai danni di siti IT tra cui parecchi appartenenti a Pubblica Amministrazione (comuni...) ma anche ad istituti scolastici.

Come accade quasi sempre nei casi di Pharmacy Hacking i riferimenti con links a vendita di medicinali online sono nascosti ai visitatori dei siti coinvolti ma visibili al bot del motore di ricerca.
In tutti i casi analizzati oggi i contenuti di pharmacy sono di conseguenza rilevati utilizzando come User Agent quello relativo a Google BOT


Vediamo qualche attuale esempio ON-LINE al momento di scrivere il post.

Questa la homepage di sito comunale toscano


dove il codice mostra molti riferimenti a siti di pharmacy.
L'uso di User Agent come Google Bot arriva al punto di alterare i menu' presenti anche sulla homepage che passano da questo normale layout


a questo


con links a siti di pharmacy, o, in alternativa, ad altri siti compromessi che a loro volta propongono collegamenti a vendita di medicinali on-line.
Ad esempio uno dei link punta a questo sito di magazine online che, tra l'altro, dovrebbe anche occuparsi di sicurezza Internet 


e che mostra evidenti segni di hacking di pharmacy.


Altro sito comunale, ma del Nord Italia


mostra codice con riferimenti a pharmacy 


Questo invece un sito di Liceo 


con altrettanti evidenti contenuti e links  a pharmacy.


Per terminare ecco questo caso di sito comunale del centro Italia


che, oltre che a presentare contenuti di pharmacy, compare nei risultati di ricerca Google


con link che redirige direttamente a sito di pharmacy senza che venga visualizzata la pagina del sito comunale IT.


Edgar