Qualche mese fa abbiamo dato la notizia dell'attacco hacker al sito della provincia di Verbania
Dopo poche ore il sito era stato "apparentemente" ripristinato, e tutto sembrava essere tornato alla normalità.
Se pero' provavate a cercare su Google inurl:verbania.it cialis viagra appariva questa preoccupante scritta
Provincia del Verbano Cusio Ossola
www.provincia.verbania.it/
viagra discount prices Provincia del Verbano Cusio Ossola. Full Screen; Wide Screen; Narrow Screen. Increase font size; Default font size; Decrease font size.
La homepage (ma non solo quella) del sito, conteneva dei link ad un sito di vendita di viagra.
La cosa strana era che, andando sul sito della provincia, tale scritta non appariva.
In principio abbiamo pensato che fosse solamente un problema di aggiornamento di Google, soltanto che le scritte continuavano a rimanere anche dopo vari aggiornamenti dell'indice e delle cache di Google.
Ci siamo quindi chiesti come questa cosa fosse possibile e abbiamo scoperto che, se il sito viene navigato da un motore di ricerca (nel nostro caso Google) vengono aggiunti una serie di link pubblicitari di siti di vendita di Viagra.
Dal punto di vista tecnico è facile simulare la navigazione da parte di Google, basta un normale comando wget
wget -U "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "http://www.provinciavco.it"
che ci permette di scaricare la homepage, come se fosse Google a farlo.
Facendo cosi, ed esaminando il contenuto della pagina, appaiono una serie di link come questo:
Per i meno tecnici, potete andare direttamente ad esaminare la cache di Google di qualche giorno fa, dove vengono pubblicizzati questi farmaci.
A questo punto speriamo che i tecnici della provincia provvedano a rimuovere immediatamente questi link che, seppur innocui, non danno una bella immagine della nostra provincia, se non per i consumatori delle amate pillole blu :)
Nuovamente attaccato da hacker il sito della provincia di Verbania
Da alcuni mesi, all'insaputa di tutti, il sito della provincia di Verbania, pubblicizza siti di vendita di Viagra e Cialis
2 commenti Aggiungi il tuo
Pharmacy hacking su sito provincia
Edgar Bangkok
5 Ottobre 2013 - 08:32
Una alternativa piu' semplice a wget e' quella di usare uno dei tanti addon firefox che permettono di cambiare l'user agent.Ad esempio “USER AGENT SWITCHER”.
Basta selezionare Google Bot nelle opzioni e la pagina verra' caricata come se a richiederla fosse il bot del noto motore di ricerca.
Alcuni dettagli su come funziona il pharmacy hacking li trovate sul mio blog qui
http://edetools.blogspot.com/2013/04/the-pharmacy-hack-alcuni-dettagli-e.html
Per quanto si riferisce al sito della provincia e' solo uno delle centinaia se non migliaia di siti IT compromessi (tra questi un buon numero si siti di PA italiana > comuni, provincie e regioni) con inclusione di codici di pharmacy.
Il fatto che dopo una bonifica del sito sia ricomparso l'hacking e' dovuto ad esempio od a qualche vulnerabilita' non patchata ed ancora attiva o piu' probabilmente a codici di pharmacy hacking, spesso offuscati, che continuano ad essere hostati sul sito e che non sono stati individuati e rimossi.
Maggiori info sul mio blog
Saluti
Edgar from Bangkok
Basta selezionare Google Bot nelle opzioni e la pagina verra' caricata come se a richiederla fosse il bot del noto motore di ricerca.
Alcuni dettagli su come funziona il pharmacy hacking li trovate sul mio blog qui
http://edetools.blogspot.com/2013/04/the-pharmacy-hack-alcuni-dettagli-e.html
Per quanto si riferisce al sito della provincia e' solo uno delle centinaia se non migliaia di siti IT compromessi (tra questi un buon numero si siti di PA italiana > comuni, provincie e regioni) con inclusione di codici di pharmacy.
Il fatto che dopo una bonifica del sito sia ricomparso l'hacking e' dovuto ad esempio od a qualche vulnerabilita' non patchata ed ancora attiva o piu' probabilmente a codici di pharmacy hacking, spesso offuscati, che continuano ad essere hostati sul sito e che non sono stati individuati e rimossi.
Maggiori info sul mio blog
Saluti
Edgar from Bangkok
Temo che non sia mai stata fatta la bonifica di questo hack .. dato che persiste da mesi.
IMHO non si sono semplicemente accorti.
La cosa preoccupante è che, a vari giorni dalla segnalazione, nessuno abbia fatto ancora nulla
IMHO non si sono semplicemente accorti.
La cosa preoccupante è che, a vari giorni dalla segnalazione, nessuno abbia fatto ancora nulla
Per commentare occorre essere un utente iscritto