Sembra si tratti di un custom short domain basato su a bit.ly, usato per fare shortening di URL lunghe, si capisce dal robots.txt e dall'IP nel record DNS A: 69.58.188.49
cnn.it / robotx.txt > # Welcome to Bitly =) > # robots welcome; > # API documentation can be found at http://dev.bitly.com/ > User-Agent: * > Disallow: cnn.it DNS > dig cnn.it > > ; <<>> DiG 9.8.3-P1 <<>> cnn.it > ;; global options: +cmd > ;; Got answer: > ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18318 > ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 > > ;; QUESTION SECTION: > ;cnn.it. IN A > > ;; ANSWER SECTION: > cnn.it. 867 IN A 69.58.188.49 Qui si vedono le decine di migliaia di short URL impostate: https://www.google.it/search?q=site%3Acnn.it Inserendo 69.58.188.49 qui vedete gli altri shortener basati su bit.ly come amzn.to, apple.co, etc... che usano lo stesso servizio e stesso IP. http://www.yougetsignal.com/tools/web-sites-on-web-server/ Resta da capire come hanno abusato del servizio... Ciao Paolo -- Paolo Dal Checco, Ph.D, Computer Forensics Expert Digital Forensics Bureau (Di.Fo.B.) Studio Associato Tel +390110438192 Fax +390113975327 Mob +393271818431 Strada del Portone 10, 10095 Grugliasco (TORINO) Italy On 18/01/16 13:55, Piero Cavina wrote: > Il giorno 18 gennaio 2016 12:13, Andrea Scian > <[email protected]> ha scritto: >> Ciao a tutti, >> >> a un mio collega e' arrivato, via skype, un link su http://cnn.it >> formattato in modo strano, tipo il seguente >> >> http://cnn.it/1ZgPTml#guryfa=ncognome >> >> dove ncognome e' proprio l'iniziale del nome seguita dal cognome. >> >> Dopo aver cliccato come il piu' classico dei pirletti, il cervello e' >> stato fortunatamente ricollegato e sono stato chiamato in causa io. >> >> Ho staccato il PC dalla rete e fatto un po' di verifiche "standard" da >> non-esperto di sicurezza quale sono (scansione URL con virustotal, >> verifica whois ecc) >> >> A me risulta che il sito sia clean e appartenente veramente alla CNN >> che conosciamo. >> > Direi che c'è un hacking in corso, o a livello di dns oppure dell'host > sul quale si appoggia cnn.it: qualsiasi url abbia provato rimanda a > edition.cnn.com, che pare il comportamento di default per i vari > domini cnn, mentre quella che hai indicato tu (anche senza l'anchor) > rimanda a una pagina di spam e forse di drive-by-download (non ho > approfondito). > L'IP associato attualmente a cnn.it non è proprietà della Turner ma di > uno shared hosting quindi propenderei per la prima ipotesi. > C'entrerà qualcosa il fatto che il dominio cnn.it fosse scaduto pochi giorni > fa? > Ai più esperti la sentenza.. > > >
