Estas aquiContenido / La web de la Agencia Tributaria [ya no] contiene enlaces a código malicioso
La web de la Agencia Tributaria [ya no] contiene enlaces a código malicioso
Actualización (12:52): Afortunadamente Hacienda ha reaccionado. Al menos hora mismo la página afectada ya no está accesible:

Basta incluir la dirección www.servicios.aeat.es en el servicio Safe Browsing de Google para llevarse una desagradable sorpresa.
Como demostración práctica basta cargar una página comprometida (OJO: No hacerlo desde Explorer o Firefox sin NoScript, ni ningún otro navegador con javascript activo), como la del "Plan de Prevención del Fraude", para comprobar cómo se intentan ejecutar scripts maliciosos desde varios sitios:

Un simple vistazo al código fuente confirma lo peor:

Estas comprobaciones las he realizado tras ver un aviso en Barrapunto. Quien lo remite afirma haber contactado con la AEAT, que -según él- le ha dicho que no hay nada anormal.
Desde Kriptópolis ruego precaución a los usuarios y medidas correctoras urgentes a quien pueda y deba tomarlas.




En este momento (10:18 CET, 13 de agosto 08),la página aparece en construcción.
La sección infectada sigue infectada y de momento no hay cambios.
Ahora (11:40) sigue en construcción, o ha vuelto a ser construida.
Veo que el servidor es el IIS de Microblando. Con un poco de suerte, la porquería ésta irá aderezada con MS SQL Server. Hoy precisamente he leído en eslásdot esta noticia:
http://it.slashdot.org/article.pl?sid=08/08/12/1943217&from=rss
Sigamos los enlaces de la página y puede que nos expliquemos el por qué aparecen esos enlaces...
La página infectada puede localizarse fácilmente con ayuda de Google, buscar en site:tal e incluir como palabras clave las que están citadas en la captura de Admin. Está online y está infectada, ahora mismo 20080813 9:32 UT (horario canario o 10:32 horario peninsular español). La IP de la página es 213.4.114.92, http://whois.domaintools.com/213.4.114.92.
Pues eso, se habla de scripts maliciosos, y supongo que malicioso es algo más que espiar que algien entra en esa página. Alguien ha comprobado qué hacen esos .js ?
Pone segun se entra:
BIENVENIDOS A LA PORTAL DE SERVICIOS DE LA AGENCIA TRIBUTARIA.
Página en Construcción
Igual soy purista, pero podrian haberse currado mejor la pagina.
Ésa no es la página afectada.
¿Y se sabe que hace ese script?
Buscando en google por dominio usaadp.com salen un montón.
Además del NoScript estaría bien una extensión que bloqueara estos dominios extraños.
El propio NoScript o AdBlock/AdBlock Plus
Haced una busqueda en Google con el termino ngg.js y ya vereis hasta donde llega la fiesta... Resultados 1 - 10 de aproximadamente 993.000 de ngg.js. (0,10 segundos)
--
Es solo una opinion.
--
Es solo una opinion.