in questo incredibile e sfacciato sito firmato dai soliti simpaticoni russi della premiata ditta CWS/gromozon. Queste pagine sono veramente una trappola terribile per i poveri disgraziati che ci arrivano con un sistema non adeguatamente protetto.
Il sito è ospitato su server atrivo/intercage (spam, scam, ecc.). I range di Ip assegnati a questa societa' vanno evitati come la peste bubbonica perche' sono pieni di malware ed exploit di tutti i tipi.
In questo sito ci sono news e recensioni cinematografiche prese da pagine italiane.
Quindi si presenta come un collage di scopiazzature di argomenti di vario genere.
Nel codice non sono presenti iframe visibili ma solo javascript.
Andiamo a controllare il codice della pagina e troviamo questo
Ed ecco un bell'iframe che punta ad un server in russia di un notissimo blocco pieno di immondizia di tutti i tipi gia' presente da tempo nella mia blacklist.
Potrebbe gia' bastare così ma stavolta visto che si tratta di una cosa veramente "simpaticissima" e per ringraziare della cortese e maniacale attenzione che i nostri amici dedicano al nostro paese ho deciso di approfondire..
Andiamo a vedere cosa succede:
il file a3.html contiene un javascript offuscato la cui decodifica è la seguente
- www.html
- cms.html
- mac.html
la decodifica è esercizio abbastanza semplice e forse sara' trattata in post futuri.
- cms è riconosciuto come exploit da Antivir, BitDefender, DrWeb, Kaspersky, Panda e Webwasher
- www è riconosciuto come exploit da antivir, esafe, panda, etrust (JS/MS05-054!exploit), sophos e webwasher
- mac non è riconosciuto da nessun antivirus, ma lui si preoccupa parecchio di loro infatti controlla se sono installati i seguenti prodotti:
Come potete vedere gli antivirus servono a poco.
L'unica soluzione possibile è utilizzare una sandbox (eccellente è sandboxie) sul browser oppure una misura draconiana, ovvero navigare con java e javascript disabilitati.
Ormai credo sia ovvio che questi russi/ucraini godono di appoggi in Italia.
Nei prossimi giorni cerchero' di mostrare vari esempi di pagina civetta
e come si riconosce l'immondizia di questo tipo.
E soprattutto come difendersi da questi farabutti.
Le pagine infette riconducibili a questa gang sono dell'ordine di milioni.
La cosa incredibile di questi tizi è la strafottenza e l'arroganza con cui stanno letteralmente avvelenando il web (in particolare quello italiano).
Ancora non ho capito perche' sono intoccabili ma anche Al Capone lo era.
Aspetto con molta impazienza che google rilasci greenborder. Un software che grazie al gigante Mountain View avra' una diffusione notevole e che risolvera' molti dei problemi a cui si va incontro navigando sul web in questo periodo.
Chiudo con una nota di colore: l'about di questo sito.
Se questi sono i progetti russo-italiani non c'è da stare molto allegri per il futuro
7 commenti:
Mi scuso in anticipo se posto qui questo quesito ma credo che sia uno degli unici siti dove posso trovare una risposta vista la grande competenza delle persone che scrivono su questo blog...
Un amico mi ha chiesto di pulire un suo sito ( flexso.it ) da codice malevolo dato che lui non capisce molto di web e html ....
Ho ripulito completamente l'index.htm da IFRAME con malware, lo uploado sul server ... passano + o - 30 minuti.... e se riscarico il codice della pagina ritrovo il codice malevolo ...IFRAME ecc ecc ; come e ' possibile ???
LA pagina uploadata era completamente pulita e per sicurezza avevo eliminato vari script che comunque non c entravano niente con malware o simili ... .... Puo essere impestato il server al puntio tale che in automatico riaggiorn l index ??? con malware ???
Grazie in anticipo
Edgar from Bangkok
Ciao, ho controllato. Purtroppo il sito è ospitato dall'hoster SEEWEB che mi era stato segnalato essere stato attaccato dalla gang russa che usa mpack.
Moltissimi siti web sono infetti.
La prima cosa che devi fare è comunicare a questa societa' che i sui server continuano ad essere attaccati. Quindi di controllare che tipo di falla hanno. A differenza dei precedenti casi qui si tratta si server linux e questa è un'anomalia. Non so come riescano ad eccedere al server.Nell'altro caso avevano il datbase delle password.Un primo tentativo dopo aver ripulito la pagina e di cambiare le pass di accesso. E poi modificare i permessi solo in lettura.
Se la falla sta sul server c'è poco da fare. L'hoster deve risolvere la vulnerabilita'.Fate la voce grossa perche' diranno che è colpa vostra ma io gia' ho visto che ci sono altri siti infetti nello stesso IP
Grazie per la sollecita risposta: ho visto che ne parli anche in un nuovo post sul blog. Mi sono fatto dare dal mio amico i dettagli sull accesso al server e adesso provo a cambiare password e poi ripulisco la pagina di nuovo e metto in sola lettura gli attributi dei files... Speriamo che funzioni.
Grazie ancora... poi ti dico come e' finita....
Ciao dalla Thailandia
Edgar
Figurati. Finalmente ho capito chi cavolo veniva a visitare il blog assiduamente dalla tailandia :-)
Ma che ci fai li?
Se posso?
Poi ti spiego.... e' colpa di internet...
Senti avrei da chiederti ancora qualcosa ma comunque ho trovato altri casini su seewb. pare che per cambiare password si debba accedere a una pagina pannello di controllo che si trova in un subfolder del sito web che si sta modificando, sono andato in ftp ed ho esamonato il codice del pannello di controllo CE UN IFRAME ANCHE LI DENTRO hehehehe ossia se vai a cambiare password ti riimpesti... boh.. sono ridicoli...
Se hai skype e e hai un account se vuoi ci possiamo sentire li.. basta che trovi il modo di darmi il tuo identificativo..
Ciao
Edgar from bangkok. PS LA mia mail la vedi sull autenticazione quando spedisco il messaggio.. E' gmail
Controlla tutte le pagine del tuo sito perche' non è infetta solo la home page.
Aggiornamento situazione sito flexso.it.Finalmente dopo vari casini sono riuscito , spero a ripulirlo, la soluzione per evitare che ricomparisse di nuovo lo script e' stata settare tutti i files htm con l attributo sola lettura; mi pare di aver capito che senza quello dopo dieci minuti si ritornava con lo script malware in tutte le pagine. Mi chiedo se non e' una cosa un po strana dato che un conto e' l attacco al sito , ma qui sembra che ci sia un qualcosa di residente sul server che permette di reinserire lo script malevolo anche dopo che si era pulito il file... ma forse e' solo una mia idea. Comunque pare che adesso il sito sia OK, vedremo in seguito. Purtroppo non sono ancora riuscito a cambiare la password di accesso dato che non mi pare ci sia funzionante un qualche sistema interattivo via pagina web e se contattare questi signori dall italia e' difficile figuriamoci dalla Thailandia ... Ci pensera' il proprietario del sito in seguito.
Saluti da Bangkok
Edgar
Posta un commento