asipprevent[.]rs sajt bio maliciozan

asipprevent[.]rs sajt bio maliciozan - Printable Version

+- Bezbedan Balkan (https://bezbedanbalkan.net)
+-- Forum: Bezbednost privatnih resursa (https://bezbedanbalkan.net/forum-12.html)
+--- Forum: Phishing / Scam / Spam kampanje (https://bezbedanbalkan.net/forum-16.html)
+--- Thread: asipprevent[.]rs sajt bio maliciozan (/thread-850.html)

asipprevent[.]rs sajt bio maliciozan - Petar - 10-02-2023

Zdravo,

postoji situacija sa sajtom asipprevent[.]rs koji je markiran kao Phishing od 12 vendora na VT:
https://www.virustotal.com/gui/domain/asipprevent.rs
https://threatbook.io/domain/asipprevent.rs

Klasifikacija domena od strane Cisco Talos-a kaze malicious:
https://talosintelligence.com/reputation_center/lookup?search=asipprevent.rs

Takodje zbog ovih detekcija se nalazi na bleklistama kao sto kaze SiteGuarian:

Filename: asipprevent.rs.png Size: 48.04 KB 10-02-2023, 11:28 PM

kao i da je u pitanju Wordpress CMS (nije tesko naci ranjivost zbog popularnosti).

Spisak URL-ova:
/
/o-nama/
/bezbednost-i-zdravlje-na-radu/
/zastita-od-pozara/
/vanredne-situacije/
/kontrolisanje-pregledi-i-ispitivanja/
/konsalting-u-gradjevinarstvu/
/asip-akademija/
/koordinacija-u-fazi-izvodjenja-radova/
/kontakt/
/sva-obavestenja/
/lokacije/
/zahtev/
/usluge/
/obavestenja/
/category/obuke/
/category/konkursi/

Lokalni JS:
/wp-content/plugins/litespeed-cache/assets/js/webfontloader.min.js
/wp-includes/js/jquery/jquery.min.js?ver=3.7.0
/wp-content/litespeed/js/fbba1cbdc9a50e64d52828c15e3da95d.js?ver=20867

Vise informacija dobijamo i od AlienVault-a:
https://otx.alienvault.com/indicator/domain/asipprevent.rs

koji kaze da je razlog sto je hostovan barem 1 maliciozni fajl na domenu ili poddomenu sajta,
dok PCRisk scanner kaze da takvih malicioznih fajlova ima 69:
https://scanner.pcrisk.com/detailed_report/asipprevent.rs#details

Medjutim drugi alati kazu da je cist tj. ne detektuju:
https://www.sitelock.com/free-website-scan/?domain=asipprevent.rs
https://urlscan.io/result/822cf83e-ae5f-4a97-804f-68fca057df57/#summary
https://urlquery.net/report/2f54f2d3-9720-4c7e-80de-8464f144c0ac
https://urlscan.io/result/4dd43b62-3988-4b09-adbd-74989b98915e/

Jos jedan od indikatora da je verovatno sada cist je da IP adresa na kojoj je hostovan sajt nije prijavljena za maliciozne aktivnosti:
https://www.abuseipdb.com/check/38.242.240.152
kao i to da na VT za domen pokazije da je maliciozan ali IP ne tj. unrated
https://www.virustotal.com/gui/ip-address/38.242.240.152

Obrnuta je situacija na BrigtCloud-u gde za IP prijavljuje phishing a za domen ne

Filename: asipprevent.rs-ip-brightcloud.png Size: 95.72 KB 10-02-2023, 11:40 PM

Filename: asipprevent.rs-brightcloud.png Size: 56.11 KB 10-02-2023, 11:42 PM

Neko bi pomislio da je vlasnik promenio u medjuvremenu IP domena pa da se zato ne slazu rezultati, medjutim Domain history checker kaze da nema promena za domen:

Filename: domain history check asipprevent.rs.png Size: 71.15 KB 10-02-2023, 11:45 PM

Svakako je savet da pripazite, a ako ste vlasnik pisite na Twitteru.

RE: asipprevent[.]rs sajt bio maliciozan - maxxa - 10-04-2023

Jeste Wordpress, nije cak ni katastrofalan setup ali je pitanje da li su verzije plugin-ova i samog CMS-a azurirane... ako nista drugo admin page je default i otvoren je xmlrpc.php...