giovedì 30 novembre 2006

Analisi di un attacco: grazie Netcraft!

Mentre sto lavorando in tempo reale con un cliente di Lentini, collegato telefonicamente via VoIP e contemporaneamente via VNC temporaneamente abilitato, la mia fusione nel cercare su internet informazioni specifiche sul suo problema mi lascia stare in secondo piano la vecchia versione di gaim (Ubuntu warty) che nel frattempo mi segnala una serie di attese di autorizzazioni.
Quando finalmente finisco e mi dedico nuovamente al programma gaim, tutti gli amici che avevo salutato in serata dicendo "poi torno dopo" sono ormai andati via (ngue!) ma campeggia in bella vista una richiesta di autorizzazione di un utente icq.
Il motivo per ottenere l'autorizzazione e' scritto in italiano sgrammaticato tipico da robot ("lei potrebbero essere interessato a incontro nuovo per chat etc." per cui ignoro la richiesta ma, dato che comunque ho impostato icq per accettare un messaggio dagli sconosciuti (se mi interessa e rispondo la chat va avanti, se no l'utente va in ignore) il messaggio e' molto piu' esplicito ("sono vogliosa" e' la parte che posso pubblicare qui per evitare censure, filtri e reazioni di sdegno dei genitori che leggono questo blog) e mi invita a visitare un "photoblog" su un sito in America.
Dato che sono sotto Linux e con Firefox, incuriosito clicko.
Ding! Finestra di errore in jscript: "Prego usare Internet explorer 6 per questo sito". Bianco. Nulla da segnalare. Sorgente della pagina che contiene solo:

<html><body onload="alert('Prego usare Internet explorer 6 per questo sito');"></body></html>

Uhm... la cosa si fa interessante. User Agent Switcher -> "Internet Explorer 6 (Windows XP)" e "Ricarica".
Tentativo di contatto di qua, tentativo di contatto di la', completato. Sempre pagina bianca, ma sta volta mi compare qualcosa di interessante. (-:
C'e' uno jscript che appare "criptato" come una sequenza di numeri e punti esclamativi da decodificare, fate conto che c'e' un:

var s='62!64!108!75!...';

Ma io sono interessato e pertanto copincollo e, interpretando il jscript, passo ad una pagina in php sul mio webserver:

<?php
header("content-type: text/plain");

$string = '62!64!108!75!...';
$string_exp = split ("!", $string);

foreach ($string_exp as $value) {
echo chr($value);
}
?>

Ed ecco aprirmisi un bel:

<iframe src="http://parapim?10" width="1" height="1" stile="visibility: hidden"></iframe>

Apro a manina il sito http://parapim?10 e di nuovo bianco, ma stavolta nel sorgente pagina c'e' un magnifico script VBScript che tenta di depositare un infamissimo dialer usando una vulnerabilita' ActiveX.

Ah, si? Ritorno al sito principale e dalla barra di Netcraft faccio "Report a Phishing Site". Due dati, cinque minuti e... voila' un messaggio in posta elettronica di Netcraft mi ringrazia della segnalazione mentre il tab che e' rimasto aperto su quella pagina improvvisamente protesta con l'avviso che il sito e' stato indicato come malevolo... (((((((((((((((-:

Ci sono soddisfazioni che un *vero* *programmatore* deve togliersi prima di andare a dormire ((-:

2 commenti:

Francesco ha detto...

Fantastico!!!
E meno male che c'è Grizzly ...

Grizzly ha detto...

Ma vaaaaaaaaaaaaaaaaaaaaaaa! (-:
Io ho solo detto che ci sono soddisfazioni che prima o poi bisogna togliersi nella vita. Vuoi mettere?
Io mi sono anche divertito. ((-: