La web de la Agencia Tributaria [ya no] contiene enlaces a código malicioso

Enviado por admin el 13. Agosto 2008 - 8:33.

Actualización (12:52): Afortunadamente Hacienda ha reaccionado. Al menos hora mismo la página afectada ya no está accesible:

 

 

Basta incluir la dirección www.servicios.aeat.es en el servicio Safe Browsing de Google para llevarse una desagradable sorpresa.

Como demostración práctica basta cargar una página comprometida (OJO: No hacerlo desde Explorer o Firefox sin NoScript, ni ningún otro navegador con javascript activo), como la del "Plan de Prevención del Fraude", para comprobar cómo se intentan ejecutar scripts maliciosos desde varios sitios:

 

 

Un simple vistazo al código fuente confirma lo peor:

 

 

Estas comprobaciones las he realizado tras ver un aviso en Barrapunto. Quien lo remite afirma haber contactado con la AEAT, que -según él- le ha dicho que no hay nada anormal.

Desde Kriptópolis ruego precaución a los usuarios y medidas correctoras urgentes a quien pueda y deba tomarlas.

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

Reparando...

Enviado por anónimo el 13. Agosto 2008 - 9:19.

En este momento (10:18 CET, 13 de agosto 08),la página aparece en construcción.

Me temo que no

Enviado por anónimo el 13. Agosto 2008 - 9:24.

La sección infectada sigue infectada y de momento no hay cambios.

En obras

Enviado por anónimo el 13. Agosto 2008 - 10:44.

Ahora (11:40) sigue en construcción, o ha vuelto a ser construida.

Veo que el servidor es el IIS de Microblando. Con un poco de suerte, la porquería ésta irá aderezada con MS SQL Server. Hoy precisamente he leído en eslásdot esta noticia:

PainMeds tips a recent post in Secure Computing's research blog describing a new SQL injection attack that had infected thousands of MSSQL-based web servers by last weekend, turning them into malware delivery systems. The attack apparently rewrites the server's Web pages to include JavaScript which pushes malware to the visitor as if it were from the genuine site. Sites using Sybase might possibly be vulnerable, as it uses the same exploited syntax that MSSQL does. The post includes an example of the attack....

http://it.slashdot.org/article.pl?sid=08/08/12/1943217&from=rss

Sigamos los enlaces de la página y puede que nos expliquemos el por qué aparecen esos enlaces...

Sí que está, sí

Enviado por anónimo el 13. Agosto 2008 - 9:36.

La página infectada puede localizarse fácilmente con ayuda de Google, buscar en site:tal e incluir como palabras clave las que están citadas en la captura de Admin. Está online y está infectada, ahora mismo 20080813 9:32 UT (horario canario o 10:32 horario peninsular español). La IP de la página es 213.4.114.92, http://whois.domaintools.com/213.4.114.92.

Alguien sabe qué hacen esos scripts?

Enviado por anónimo el 13. Agosto 2008 - 9:56.

Pues eso, se habla de scripts maliciosos, y supongo que malicioso es algo más que espiar que algien entra en esa página. Alguien ha comprobado qué hacen esos .js ?

Esta en contruccion

Enviado por anónimo el 13. Agosto 2008 - 9:59.

Pone segun se entra:

BIENVENIDOS A LA PORTAL DE SERVICIOS DE LA AGENCIA TRIBUTARIA.
Página en Construcción

Igual soy purista, pero podrian haberse currado mejor la pagina.

Esa no es

Enviado por admin el 13. Agosto 2008 - 11:49.

Ésa no es la página afectada.

¿Cómo pueden pasar estas cosas?

Enviado por anónimo el 13. Agosto 2008 - 11:16.

¿Y se sabe que hace ese script?

Buscando en google por dominio usaadp.com salen un montón.

Además del NoScript estaría bien una extensión que bloqueara estos dominios extraños.

Una extensión que bloquea...

Enviado por anónimo el 13. Agosto 2008 - 11:51.

El propio NoScript o AdBlock/AdBlock Plus

Pues...

Enviado por luis.cervantes el 13. Agosto 2008 - 12:34.

Haced una busqueda en Google con el termino ngg.js y ya vereis hasta donde llega la fiesta... Resultados 1 - 10 de aproximadamente 993.000 de ngg.js. (0,10 segundos)

--
Es solo una opinion.

12siguientefinal

Opinar

Salvo circunstancias especiales LOS COMENTARIOS DE ESTE SITIO SERÁN MODERADOS.

Como norma general, en este sitio NO SE PUBLICARÁN aquellos comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales. Tampoco los que no se ajusten al tema, a la netiqueta, la ortografía o la educación, así como los comentarios ofensivos o claramente publicitarios, los que no aporten nada a la discusión o los que pretendan suplantar a terceras personas.

En cualquier caso los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable -incluso ante la Ley- de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Para poder enviar tus comentarios no necesitas ningún registro, pero has de permitir las cookies del sitio. Sólo si deseas disponer de un alias permanente has de registrarte.

Si no aceptas estas condiciones, por favor, absténte de participar en los debates. Muchas gracias

Kriptópolis, 21 de noviembre de 2008.

  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...

CAPTCHA
Esta prueba busca evitar la entrada de mensajes basura automatizados. Muchas gracias por tu colaboración.
1 + 0 =
Resuelve esta sencilla operación e introduce el resultado.