Villacorp Blog Exclusivo en Mexico de Contraespionaje y Hacking Profesional

11Jun/100

Infeccion masiva de sitios IIS

La configuración en riesgo es IIS con ASP.NET. Los ataques tienen en común que hospedan un script malicioso javascript remoto, descargado desde el dominio robint.us:

http://ww.robint.us/u.js

Para identificar sitios infectados, busque ww.robint.us/u.js en Google:

Para identificar si su sitio ha sido afectado, puede usar técnicas de "Google Hacking". Tomando como ejemplo a la primera víctima (www.servicewomen.org) -NO visite esta página-, usaríamos la siguiente búsqueda en google:

ww.robint.us/u.js site:www.servicewomen.org

Ahora sustituya el dominio de la víctima por el de su empresa. Si ve resultados similares, significa que ha sido hackeado. Además, como es muy probable que el dominio malicioso cambie de nombre, es recomendable que repita la búsqueda indicando sólo el nombre del script:

“u.js>” site:www.servicewomen.org

Auditando rápidamente los sitios web de nuestros clientes, hasta el momento ninguno ha sido afectado, lo que me hace sospechar que es un ataque dirigido a organizaciones de Estados Unidos (o que nuestros clientes ya tienen demasiado buena seguridad) :-)

Actualización - Junio 11. Ataques más recientes usan el nombre de script yahoo.js

Comments (0) Trackbacks (0)

No comments yet.


Leave a comment

You must be logged in to post a comment.

No trackbacks yet.

Powered by Netfirms