Risolvo problemi software e ottimizzo architetture : Blog
Mia foto

browserdownup.com, javaupgradesup.com e flashplayerupgradesup .com, quando è Google a tradirti

Possibile che Google Adsense sia stato usato oggi come veicolo di installazione di malware? Ci sono 3 siti che da un paio di giorni infestano la rete .. e nessuno fa nulla. Che si lavori il lunedì anche in Google?

browserdownup.com, javaupgradesup.com e flashplayerupgradesup .com, quando è Google a tradirti
Oggi mi è capitata una cosa strana.

Mentre stavo controllando un sito in locale, all'improvviso, il browser è stato rediretto all'indirizzo javaupgradesup.com, dove mi veniva chiesto di aggiornare Java, tornando alla pagina dove stavo lavorando, un nuovo redirect al sito browserdownup.com dove veniva richiesto l'aggiornamento del browser.

La cosa era strana, perché avevo una versione ben più recente di Java e il browser era stato aggiornato da poche ore.
Oltre a questo non avevo chiesto nessun check di sistema.

Ho provato allora a fare il whois del sito e ho scoperto che era stato registrato oggi

Domain Name: BROWSERDOWNUP.COM
Registry Domain ID: NA
Registrar WHOIS Server: whois.enom.com
Registrar URL: www.enom.com
Updated Date: 2014-11-01 07:14:09Z
Creation Date: 2014-11-01 14:14:00Z

Molto strano.

Ho provato poi a monitorare la chiamata al sito, e noto che il suo Referer è Google Adsense: googleads.g.doubleclick.net

GET /?cch=cd&dc=12 HTTP/1.1
Host: www.browserdownup.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:33.0) Gecko/20100101 Firefox/33.0
Accept: text/html,application/xhtml+xml, application/xml;q=0.9, */*;q=0.8
Accept-Language: it-IT,it;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://googleads.g.doubleclick.net/pagead/ads?client=ca-pub-3164279473024886 &format=780x90 &output=html &h=90 &slotname=6646876254 &adk=193303815 &w=780 &lmt=1414861563 &flash=15.0.0 &url=http%3A%2F%2Flocalhost%2Fn1-cannobio- migliaia-di-persone-per-i-lumineri.htm &resp_fmts=3 &dt=1414861564466 &bpp=11 &bdt=1094 &shv=r20141029 &cbv=r20140417 &saldr=aa &correlator=306986773700 &frm=20 &ga_vid=414115806.1391610327 &ga_sid=1414861565 &ga_hid=912158964 &ga_fc=1 &u_tz=60 &u_his=4 &u_java=0 &u_h=768 &u_w=1366 &u_ah=740 &u_aw=1366 &u_cd=24 &u_nplug=20 &u_nmime=59 &dff=raleway &dfs=16 &adx=85 &ady=431 &biw=1350 &bih=595 &eid=317150304 &oid=3 &ref=http%3A%2F%2Flocalhost%2F &rx=0 &eae=0 &fc=8 &brdim=%2C%2C-4%2C-4%2C1366 %2C0%2C1374%2C748%2C1366%2C595 &vis=1 &abl=NS &ppjl=t &fu=128 &ifi=1 &xpc=466s0x9T6v &p=http%3A//localhost &dtd=487


Cosa pensare? Qualcuno ha fatto uno scherzo alla rete pubblicitaria di Google, configurando un Flash in grado di veicolare verso siti dai quali installare malware?

Aggiornamento
La cosa strana è che sono 2 giorni che queste "apparizioni" continuano, e nessuno ha ancora messo una pezza.
Inizio a pensare che in Google non lavorino il fine settimana, e questa è una buona notizia, almeno per chi vuole usare Adsense come veicolo di installazione Malware per almeno 2 giorni.

Giusto per aggiungere dettagli, ecco un altro bel log con referer in chiaro, questa volta con Chrome e non Firefox. Ho solo rimosso i nomi dei siti per non creare falsi allarmismi a chi ha messo Adsense:

GET /?cch=cd&dc=12 HTTP/1.1
Host: www.flashplayerupgradesup.com
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
Accept: text/html,application/xhtml+xml, application/xml;q=0.9, image/webp,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/38.0.2125.111 Safari/537.36
Referer: http://googleads.g.doubleclick.net/pagead/ads?client=ca-pub-4982115310640949 &format=300x250_as &output=html &h=250 &slotname=6448001716 &adk=2986405371 &w=300 &lmt=1414944463 &flash=15.0.0 &url=http%3A%2F%2F--removed-- &dt=1414944462506 &bpp=121 &bdt=466 &shv=r20141029 &cbv=r20140417 &saldr=aa &prev_fmts=728x90%2C728x90 &correlator=707123343361 &frm=20 &ga_vid=1641942665.1414944463 &ga_sid=1414944463 &ga_hid=866715329 &ga_fc=0 &u_tz=60 &u_his=1 &u_java=1 &u_h=768 &u_w=1366 &u_ah=740 &u_aw=1366 &u_cd=24 &u_nplug=26 &u_nmime=62 &dff=arial &dfs=16 &adx=899 &ady=2918 &biw=1358 &bih=679 &eid=317150304 &oid=3 &ref=--removed-- &rx=0 &eae=0 &fc=8 &brdim=0%2C0%2C0%2C0%2C1366%2C0%2C1366 %2C740%2C1366%2C679 &vis=1 &abl=CS &ppjl=f &fu=0 &ifi=3 &xpc=X5I5RJXbxI &p=--removed-- &dtd=1022
Accept-Encoding: gzip,deflate,sdch
Accept-Language: it-IT,it;q=0.8,en-US;q=0.6,en;q=0.4

Visto il numero di segnalazioni che ci sono in rete .. credo il problema sia parecchio diffuso.

Scopriremo nelle prossime ore come correggerlo, o più verosimilmente smetteremo di avere segnalazioni, grazie a qualcuno che sarà entrato in un pannello di controllo per cliccare "disabilita" su un banner :)

Immagine 2



0 commenti  Aggiungi il tuo



Per commentare occorre essere un utente iscritto
Iscriviti alla newsletter
Blog
26/01/2017 - Come funziona un Google Gmail account hacking?
01/01/2016 - Com'è andato il 2015
25/11/2015 - ZipBooks: time tracking, gestione clienti, commesse e stampa fatture .. tutto gratis
14/10/2015 - LinuxDay di Novara
16/07/2015 - Quanto è sicuro HTML2POP3?
×
Ricevi gratuitamente i nostri aggiornamenti