La web de la Agencia Tributaria [ya no] contiene enlaces a código malicioso

Enviado por admin el 13 Agosto 2008 - 8:33am

Ataques Web

Actualización (12:52): Afortunadamente Hacienda ha reaccionado. Al menos hora mismo la página afectada ya no está accesible:

Basta incluir la dirección www.servicios.aeat.es en el servicio Safe Browsing de Google para llevarse una desagradable sorpresa.

Como demostración práctica basta cargar una página comprometida (OJO: No hacerlo desde Explorer o Firefox sin NoScript, ni ningún otro navegador con javascript activo), como la del "Plan de Prevención del Fraude", para comprobar cómo se intentan ejecutar scripts maliciosos desde varios sitios:

Un simple vistazo al código fuente confirma lo peor:

Estas comprobaciones las he realizado tras ver un aviso en Barrapunto. Quien lo remite afirma haber contactado con la AEAT, que -según él- le ha dicho que no hay nada anormal.

Desde Kriptópolis ruego precaución a los usuarios y medidas correctoras urgentes a quien pueda y deba tomarlas.

1308 lecturas
Twitter

Reparando...

Enviado por anónimo el 13 Agosto 2008 - 9:19am.

En este momento (10:18 CET, 13 de agosto 08),la página aparece en construcción.

Me temo que no

Enviado por anónimo el 13 Agosto 2008 - 9:24am.

La sección infectada sigue infectada y de momento no hay cambios.

En obras

Enviado por anónimo el 13 Agosto 2008 - 10:44am.

Ahora (11:40) sigue en construcción, o ha vuelto a ser construida.

Veo que el servidor es el IIS de Microblando. Con un poco de suerte, la porquería ésta irá aderezada con MS SQL Server. Hoy precisamente he leído en eslásdot esta noticia:

PainMeds tips a recent post in Secure Computing's research blog describing a new SQL injection attack that had infected thousands of MSSQL-based web servers by last weekend, turning them into malware delivery systems. The attack apparently rewrites the server's Web pages to include JavaScript which pushes malware to the visitor as if it were from the genuine site. Sites using Sybase might possibly be vulnerable, as it uses the same exploited syntax that MSSQL does. The post includes an example of the attack....

http://it.slashdot.org/article.pl?sid=08/08/12/1943217&from=rss

Sigamos los enlaces de la página y puede que nos expliquemos el por qué aparecen esos enlaces...

Sí que está, sí

Enviado por anónimo el 13 Agosto 2008 - 9:36am.

La página infectada puede localizarse fácilmente con ayuda de Google, buscar en site:tal e incluir como palabras clave las que están citadas en la captura de Admin. Está online y está infectada, ahora mismo 20080813 9:32 UT (horario canario o 10:32 horario peninsular español). La IP de la página es 213.4.114.92, http://whois.domaintools.com/213.4.114.92.

Alguien sabe qué hacen esos scripts?

Enviado por anónimo el 13 Agosto 2008 - 9:56am.

Pues eso, se habla de scripts maliciosos, y supongo que malicioso es algo más que espiar que algien entra en esa página. Alguien ha comprobado qué hacen esos .js ?

Esta en contruccion

Enviado por anónimo el 13 Agosto 2008 - 9:59am.

Pone segun se entra:

BIENVENIDOS A LA PORTAL DE SERVICIOS DE LA AGENCIA TRIBUTARIA.
Página en Construcción

Igual soy purista, pero podrian haberse currado mejor la pagina.

Esa no es

Enviado por admin el 13 Agosto 2008 - 11:49am.

Ésa no es la página afectada.

¿Cómo pueden pasar estas cosas?

Enviado por anónimo el 13 Agosto 2008 - 11:16am.

¿Y se sabe que hace ese script?

Buscando en google por dominio usaadp.com salen un montón.

Además del NoScript estaría bien una extensión que bloqueara estos dominios extraños.

Una extensión que bloquea...

Enviado por anónimo el 13 Agosto 2008 - 11:51am.

El propio NoScript o AdBlock/AdBlock Plus

Pues...

Enviado por luis.cervantes el 13 Agosto 2008 - 12:34pm.

Haced una busqueda en Google con el termino ngg.js y ya vereis hasta donde llega la fiesta... Resultados 1 - 10 de aproximadamente 993.000 de ngg.js. (0,10 segundos)

--
Es solo una opinion.

Kriptópolis

Enlaces principales