Het is leuk om te weten wat voor malware er uiteindelijk op zo'n server staat maar ik vind het veel belangrijker om te weten HOE ze die servers gekraakt hebben. En ook in deze analyze ontbreekt deze uiterst belangrijke info.

Dat zo'n server misbruikt wordt om nietsvermoedende bezoekers te infecteren kun je op je klompen aanvoelen en is eigenlijk totaal niet relevant. Het is m.i. vele malen belangrijker om te weten hoe men die servers heeft kunnen infecteren zodat men dat in het vervolg kan voorkomen. Als de server niet gekraakt kan worden kan er ook geen malware geplaatst worden.

Los het probleem bij de bron op en doe niet aan symptoombestrijding.

of hoeveel ze betaald hebben gekregen, die optie, kan ook nog eens..

Voor wat betreft de ASP(.NET) mass-injection; hierbij wordt geen webserver gekraakt, maar veelal het FTP-account van een gebruiker. Waarbij het waarschijnlijk is dat het FTP-wachtwoord via een virus (Conficker, Gumblar, ...) verkregen is. Regelmatig wordt er ook gebruik gemaakt van lekken in een bepaald CMS om de iframe-code te injecteren.

Zie bijvoorbeeld ook:
http://blog.armorize.com/2011/06/mass-meshing-injection-sidenamejs.html

Uiteraard is het interessant (en van belang) om te weten hoe de accounts/servers, waarop de exploits (PDF, flash, Java, enz) gehost worden, gekraakt zijn, of dat het willekeurig geregistreerde domeinen gehost op botnet-zombies zijn. En ook wat voor exploits het precies zijn. Ik kom ook wel eens tegen dat er "gewoon" gekraakte shared hostingaccounts voor gebruikt worden.

Maar het probleem zal m.i. door de beveiligings-community én providers aangepakt moeten worden met een goede (web)server beveiliging, (web application-)firewalls en blacklists (zoals "Project Honey Pot", "Stop Forum Spam") en uptodate software. En aan de kant van de eindgebruiker, die er voor moet zorgen dat zijn software geüpdatet is. Voor dat laatste is berichtgeving en duidelijke informatie belangrijk.