Confermo quanto detto da Paolo, aggiungo: http://cnn.it/1ZgPTml reindirizza a http://mexico.cnn.com/redirectComplete.php?url=http://www.[example].com
Ora non sappiamo come siano riusciti ad aggiungere un shortener sul dominio cnn.it (gli avranno bucato l'account su bit.ly, immagino) ma di certo qualche problemino di sicurezza lo hanno. Lasciare un URL Redirection sul sottodominio mexico.cnn.com non è di certo il massimo della sicurezza! Andrea Il 18/01/16 15:09, Paolo Dal Checco ha scritto: > Sembra si tratti di un custom short domain basato su a bit.ly, usato > per fare shortening di URL lunghe, si capisce dal robots.txt e dall'IP > nel record DNS A: 69.58.188.49 > > cnn.it / robotx.txt >> # Welcome to Bitly =) >> # robots welcome; >> # API documentation can be found at http://dev.bitly.com/ >> User-Agent: * >> Disallow: > cnn.it DNS >> dig cnn.it >> >> ; <<>> DiG 9.8.3-P1 <<>> cnn.it >> ;; global options: +cmd >> ;; Got answer: >> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18318 >> ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 >> >> ;; QUESTION SECTION: >> ;cnn.it. IN A >> >> ;; ANSWER SECTION: >> cnn.it. 867 IN A 69.58.188.49 > Qui si vedono le decine di migliaia di short URL impostate: > > https://www.google.it/search?q=site%3Acnn.it > > Inserendo 69.58.188.49 qui vedete gli altri shortener basati su bit.ly > come amzn.to, apple.co, etc... che usano lo stesso servizio e stesso IP. > > http://www.yougetsignal.com/tools/web-sites-on-web-server/ > > Resta da capire come hanno abusato del servizio... > > Ciao > Paolo > -- > Paolo Dal Checco, Ph.D, Computer Forensics Expert > Digital Forensics Bureau (Di.Fo.B.) Studio Associato > Tel +390110438192 Fax +390113975327 Mob +393271818431 > Strada del Portone 10, 10095 Grugliasco (TORINO) Italy > > On 18/01/16 13:55, Piero Cavina wrote: >> Il giorno 18 gennaio 2016 12:13, Andrea Scian >> <[email protected]> ha scritto: >>> Ciao a tutti, >>> >>> a un mio collega e' arrivato, via skype, un link su http://cnn.it >>> formattato in modo strano, tipo il seguente >>> >>> http://cnn.it/1ZgPTml#guryfa=ncognome >>> >>> dove ncognome e' proprio l'iniziale del nome seguita dal cognome. >>> >>> Dopo aver cliccato come il piu' classico dei pirletti, il cervello e' >>> stato fortunatamente ricollegato e sono stato chiamato in causa io. >>> >>> Ho staccato il PC dalla rete e fatto un po' di verifiche "standard" da >>> non-esperto di sicurezza quale sono (scansione URL con virustotal, >>> verifica whois ecc) >>> >>> A me risulta che il sito sia clean e appartenente veramente alla CNN >>> che conosciamo. >>> >> Direi che c'è un hacking in corso, o a livello di dns oppure dell'host >> sul quale si appoggia cnn.it: qualsiasi url abbia provato rimanda a >> edition.cnn.com, che pare il comportamento di default per i vari >> domini cnn, mentre quella che hai indicato tu (anche senza l'anchor) >> rimanda a una pagina di spam e forse di drive-by-download (non ho >> approfondito). >> L'IP associato attualmente a cnn.it non è proprietà della Turner ma di >> uno shared hosting quindi propenderei per la prima ipotesi. >> C'entrerà qualcosa il fatto che il dominio cnn.it fosse scaduto pochi giorni >> fa? >> Ai più esperti la sentenza.. >> >> >> >
