Per adesso sui server della societa' fiorentina Hosting Solutions ho trovato questi domini infetti
con un javascript offuscato:
IP:194.242.61.210
hxxp://www.24net.it
hxxp://www.affittiinsardegna.it
hxxp://www.aissa.it
hxxp://www.brosmanifatture.it
hxxp://www.caprillina.it
hxxp://www.cdm-dellamura.it
hxxp://www.chiesadicristoroma.it
hxxp://www.cmdm.it
hxxp://www.comitatomadeinitaly.it
hxxp://www.conventionplanning.it
hxxp://www.crvo.it
hxxp://www.dodibattaglia.it
hxxp://www.euroufficio.org
hxxp://www.ffuture.it
hxxp://www.fitvillage.net
hxxp://www.gierre-group.it
hxxp://www.giuditta-countryhouse.it
hxxp://www.hotelriomarina.it
hxxp://www.hotels-hostels-florence.com
hxxp://www.leonberger.it
hxxp://www.man-group.it
hxxp://www.misericordia.firenze.it
hxxp://www.noleggioitalia.it
hxxp://www.ocabianca.com
hxxp://www.pii-cinisello-balsamo.it
hxxp://www.rudolf-keller.it
hxxp://www.scenarionline.it
hxxp://www.tsunami-3d.com
hxxp://www.vespaclubmilano.it
working progress...
Qui sotto c'è il javascript offuscato:
e la relativa decodifica
A proposito di javascript offuscati molto interessante è questo articolo di anti-phishing.it
che prende spunto da una pubblicazione di websense
http://www.anti-phishing.it/news/articoli/news.21102005.php
Aggiornamento 28/7/07:
Nei commenti a questo post troverete moltissimi altri siti legittimi hackerati con il
javascript offuscato
6 commenti:
Una scansione del range 194.242.61.1 -194.242.61.134
Anche in questa parte di range IP continuano aad essere presenti un po di siti con script.
(scansione ottenuta con l ultima versione del mio tool.
------------------------------------
vvv.tuttoperlaricevitoria.it
------------------------------------
Num. 1 SITES at IP 194.242.61.20
===================================
vvv.ipocriti.com
vvv.kfactor.it
vvv.hotellombardia.com
vvv.eosmilano.com
vvv.ilmarchiodelleidee.com
vvv.alecampi.it
vvv.altatensioneitalia.com
vvv.valuesearch.it
vvv.fabiosironi.com
vvv.eufootballuniversity.com
vvv.gibilogic.com
vvv.florisitalia.com
vvv.mouillettes-and-co.com
vvv.piccolomarte.it
vvv.metaorizzonte.it
vvv.gshosting.it
vvv.scienzaesocieta.org
vvv.sailingproject.org
vvv.exentiaparma.com
vvv.exentiaparma.com
vvv.dreo.it
vvv.nuovoteatro.com
--------------------------------------
Num. 22 SITES at IP 194.242.61.121
======================================
vvv.simoe.it
vvv.b2comunicazione.com
vvv.laserlisi.net
vvv.bagatti.it
vvv.antonuccirestauri.it
vvv.sportplanetbovalino.com
------------------------------------
Num. 6 SITES at IP 194.242.61.122
====================================
vvv.giacin.com
-----------------------------------
Num. 1 SITES at IP 194.242.61.123
===================================
vvv.bohumil.it
vvv.cosimobuccolieri.com
vvv.systemflight.it
vvv.cregut.it
vvv.turin-gallery.com
vvv.obiettivorisarcimento.it
vvv.zaiti.com
vvv.spinoneitaliano.it
vvv.barlettapianoforti.it
vvv.studiozulian.it
vvv.ceispt.org
-------------------------------------
Num. 11 SITES at IP 194.242.61.128
====================================
Edgar
Ottimo. Con questo tool possiamo avere una lista anche se non completa, perche' i servizi di reverse IP non elencano sempre tutti i domini, abbastanza efficace per minimizzare il danno
Continua la scansione del range !!!!
---------------------------------------
vvv.milanomondana.it
---------------------------------------
Num. 1 SITES at IP 194.242.61.136
======================================
vvv.torte.it
---------------------------------------
Num. 1 SITES at IP 194.242.61.170
======================================
vvv.larotondasulmare.com
vvv.tvbsms.it
vvv.vacanze-ischia.it
vvv.dietinger.it
vvv.studioalbanese.it
vvv.alessandracanale.it
vvv.gbmeccanica.com
vvv.agrimanzoni.it
vvv.collezionialtamoda.it
vvv.comune.poggioreale.tp.it
vvv.royaltur.com
vvv.zonatortona.org
vvv.scais.it
vvv.micheladistefano.it
vvv.uiapoa.it
vvv.patriziaurbinati.it
vvv.progettosinergia.com
vvv.corazonlatino.it
vvv.zoldester.com
vvv.jatimusic.com
vvv.assonucleare.it
vvv.etruriarugby.it
vvv.vistamare-case.it
vvv.truffini.it
vvv.fagioielli.it
vvv.next-station.info
vvv.accadueo.net
vvv.dippolito.it
vvv.vinicamadresca.com
vvv.exportdental.com
vvv.sienaviplodge.it
vvv.mauromancia.it
vvv.winecom.it
vvv.cmat.it
vvv.theoryofmind.info
vvv.sienaviplodge.it
vvv.mauromancia.it
vvv.royaltur.net
vvv.tvbsms.com
vvv.winecom.it
vvv.cmat.it
vvv.cheap-hotel-florence.com
vvv.saporidelcuneese.it
vvv.villadelfini.it
vvv.stepscuoladidanza.it
vvv.luismedia.it
vvv.luismedia.it
vvv.zoldester.com
vvv.sssy.it
vvv.tinticarlo.it
vvv.sienanatura.net
vvv.basf-cv.it
----------------------------------------
Num. 52 SITES at IP 194.242.61.175
=======================================
vvv.sannicolamola.it
vvv.casalbertina.it
vvv.hotelrufolo.it
vvv.hotelpupetto.it
vvv.bluestarpositano.it
vvv.allegranzimarmisti.com
vvv.noleggisci2g.it
vvv.infoiper.it
vvv.metallurgicamotta.it
vvv.hotelmiravalle2000.it
vvv.brasseriehoublon.com
vvv.hotelmontepizzo.it
vvv.chryslersyncro.com
vvv.ituscany.it
vvv.matitablu.it
vvv.stamperiabaldan.it
vvv.silviocarta.it
vvv.metarex.it
vvv.sud-dinnerbar.it
vvv.valberti.com
vvv.ibrandoli.it
vvv.nuova3l.com
vvv.unimar.org
vvv.panguaneta.com
vvv.4-m.it
vvv.artlabstudio.it
vvv.sochive.com
vvv.rodewax.it
vvv.dolcemare.com
vvv.leottasrl.it
vvv.idloriaviaggi.it
vvv.aita-coibentazioni.it
vvv.clebari.com
vvv.difotografia.com
vvv.enricomaioli.com
vvv.ballandoballando-ge.it
vvv.barnesitalia.eu
vvv.cogegospa.it
vvv.unagro.it
vvv.vulcanair147.com
vvv.antlab.eu
-----------------------------------------
Num. 41 SITES at IP 194.242.61.177
=========================================
vvv.divinacommedia.com
------------------------------------------
Num. 1 SITES at IP 194.242.61.180
===================================
======
Mi pare che il numero di siti contaminati da script sia comunque rilevante
Continuo con le scansioni....
Edgar
Ulteriore scansione da IP ....181 a 209
------------------------------------------
vvv.autolaghisrl.it
vvv.defmind.it
vvv.pandc.it
vvv.villadandrea.com
vvv.bioskygroup.com
vvv.pro-fly.it
vvv.mootz.it
----------------------------------------
Num. 7 SITES at IP 194.242.61.181
========================================
vvv.groovemasteredition.com
vvv.3emme.com
vvv.alrifugio.com
vvv.bb-opera.com
vvv.villafragenea.it
vvv.bottegadartetoscana.it
vvv.divinarivelazione.org
vvv.giorgioalbertazzi.it
vvv.concessionarivolvotrucks.it
vvv.technoplastic.it
vvv.autonoleggiomartinelli.com
vvv.cooperativaarchimede.it
vvv.assolaghi.it
vvv.robertocavallo.it
vvv.seakayakdesign.it
vvv.raviproductions.com
vvv.rosetofineschi.it
vvv.poletticentrocopia.it
vvv.irsina.net
vvv.discmatic.it
vvv.ilgrandecarro.org
vvv.frescolatte.it
vvv.entebacinigenova.it
vvv.atnimpianti.it
vvv.tessituragiaquinto.com
vvv.bindistones.com
vvv.sviluppoeambiente.it
vvv.hostelsinrome.net
vvv.gilasrecords.it
vvv.ghiglia.it
vvv.nas.it
vvv.newsail.it
vvv.mazzonimoto.it
vvv.alessandrocereda.net
vvv.vidalaser.com
vvv.icapitani.com
vvv.hotel-fiori.com
vvv.cmtraslochi.it
vvv.fiaipliguria.com
vvv.nerosubianco.org
vvv.iavicoli-rossi.com
vvv.pcsprint.it
vvv.deplano.it
vvv.duepuntiapertevirgolette.it
vvv.olimpiaonline.com
vvv.dataease.it
vvv.exateam.it
vvv.deplano.it
vvv.duepuntiapertevirgolette.it
vvv.olimpiaonline.com
vvv.dataease.it
vvv.exateam.it
vvv.exateam.it
vvv.baiacharter.com
vvv.studioprota.com
vvv.chiusarelli.it
vvv.nessimajocchi.it
vvv.promoarch.it
vvv.daveriopallets.it
----------------------------------------
Num. 60 SITES at IP 194.242.61.188
========================================
vvv.spaziomotoxrace.com
vvv.nuovavillani.it
vvv.aae-acquisti.it
----------------------------------------
Num. 3 SITES at IP 194.242.61.189
===================================
Riassumendo abbiamo quindi circa 200 siti con script offuscato nel range 194.242.61.1 - 194.242.61.209
Edgar
Ho pubblicato il riassunto completo della scansione anche su http://edetools.blogspot.com/
Edgar
ottimo edgar. Poi una volta ci facciamo una chiacchierata per parlarne.
Posta un commento