Sembra siano MILIONI i siti web compromessi da un attacco massivo sql injection che inseriscono codice malevolo nelle pagine web scritte male, ma solo quella fatte in ASP (il linguaggio di scrit della piattaforma Microsoft) che così modificate scaricano un trojan sui pc degli ignari naviganti.
Se cercate con Google le stringhe www.nihaorr1.com/1.js, www.adw95.com/b.js o www.banner82.com/b.js riceverete di ritorno una marea di siti divisibili in due categorie: quelli che parlano dell’infezione, una piccola parte del totale, sono sopratutto forum di programmazione ASP, e quelli che hanno il trojan installato che pur essendo invisibili al browser del comune mortale, non sfuggono all’occhio vigile dell’indicizzatore di Google.
Il software malevolo non è caricato direttamente sul sito compromesso, ma fà i modo che in ogni pagina che viene visitata sul sito oggetto dell’attacco venga fatto aprire dal browser del navignate un frame invisibile che punta ad un sito remoto, uno dei tre suddetti per esempio, è lui che si fà carico di scaricare sul pc della vittima il virus vero e proprio.
A parte una ripulita ed una migliore scrittura del software da parte di chi fa’ siti web, il primo tampone che mi viene in mente e’ di inserire, sia nei siti web che sui client degli utenti, nel file hosts (c:\windows\system32\drivers\etc\hosts) una voce che indirizzi i siti malevoli a qualcosa di innocuo, come localhost, inserendo infatti una cosa tipo:
www.nihaorr1.com 127.0.01
www.adw95.com 127.0.01
www.banner82.com 127.0.01
di modo che i siti in oggetto non siano piu’ raggiungibili.
Ovvio che basta che all’attaccante usi un nuovo sito web nel trojan e siamo punto a capo, quindi la migliore soluzione è quella di utilizzare un antivirus valido.
La cosa da brivido e’ che i siti compromessi sono veramente tanti, e molti sono anche italiani, facendo una ricerca con google si trovano siti istituzionali (comuni e province), siti privati e di e-commerce, e addirittura negozi di computer, questo la dice lunga sulla scarsa attenzione che che sviluppa siti web dinamici, presta alla sicurezza.
La mia speranza è che, visto che l’archivio dei siti di Google non è aggiornato in tempo reale, molti di questi siti compromessi siano già stati sistemati.
