Największy masowy SQL Injection w dziejach Internetu.

[methos]

Jesteśmy świadkami chyba najbardziej spektakularnego w historii ataku typu SQL Injection.

Do tej pory ofiarą ataku mogło paść około 1,5 miliona URLi.

Celami ataku nie była konkretna konfiguracja serwera, atakowano maszyny z ASP, ASP.NET, CeldFusion, JSP oraz PHP.

Tym razem cyberprzestępcy “wzbogacali” bazy danych swoimi wpisami, dodając autorski fragment HTML-a. Kod ten ładował JavaScript ze zdalnego serwera (zazwyczaj był to adres "http://lizamoon.com/ur.php" lub "http://alisa-carter.com/ur.php"). Oba adresy prowadziły do jednego IP, który obecnie nie jest czynny, jednak wcześniej zawierał prosty skrypt przekierowujący na stronę z fałszywym programem antywirusowym.

Atak został wykryty przez Websense Security Labs. We wtorek zarażonych było 28 tysięcy URL-ów, teraz jest ich ponad 20-krotnie więcej. Liczba ta ciągle rośnie.

Wstrzyknięty kod znaleziono także na stronach produktowych, m.in. na Apple iTunes Store.

źródło: http://arstechnica.com

[Grid]

Grubooo nauczyc sie wszystkiego z encyklopedi programowania miec w paluszku pisanie skryptów i mozna próbować hehe

[PauloK]

tego nie nauczysz się z encyklopedii ani z żadnej z książek ...

atak solidny - oj serwerek musiał być do tego porządny

[methos]

A oto jak postępuje infekcja po zarażeniu PC


Źródła malware: [Wejście na nie grozi infekcją komputera !]

Kod:

http://lizamoon.com/ur.php
http://tadygus.com/ur.php
http://alexblane.com/ur.php
http://alisa-carter.com/ur.php
http://online-stats201.info/ur.php
http://stats-master111.info/ur.php
http://agasi-story.info/ur.php
http://general-st.info/ur.php
http://extra-service.info/ur.php
http://t6ryt56.info/ur.php
http://sol-stats.info/ur.php
http://google-stats49.info/ur.php
http://google-stats45.info/ur.php
http://google-stats50.info/ur.php
http://stats-master88.info/ur.php
http://eva-marine.info/ur.php
http://stats-master99.info/ur.php
http://worid-of-books.com/ur.php
http://google-server43.info/ur.php
http://tzv-stats.info/ur.php
http://milapop.com/ur.php
http://pop-stats.info/ur.php
http://star-stats.info/ur.php
http://multi-stats.info/ur.php
http://google-stats44.info/ur.php
http://books-loader.info/ur.php
http://google-stats73.info/ur.php
http://google-stats47.info/ur.php
http://google-stats50.info/ur.php

O dziwo nie odnotowano przypadków ataku na polskie domeny ^^.
Wciąż brakuje łat, gdyż nie wiadomo dokładnie w jaki sposób strony zostają infekowane. Głównie atakowane są Microsoft SQL Server 2000 - 2008.

Jak się bronić:
Nie pobierać "przyspieszaczy komputera" czy rzekomych antywirusów nieznanego pochodzenia. Nie używać Internet Explorera.

Lub też dodając wpis w pliku "C:\Windows\System32\drivers\etc\hosts"

Kod:

127.0.0.1	lizamoon.com
127.0.0.1	tadygus.com
127.0.0.1	alexblane.com
127.0.0.1	alisa-carter.com
127.0.0.1	online-stats201.info
127.0.0.1	stats-master111.info
127.0.0.1	agasi-story.info
127.0.0.1	general-st.info
127.0.0.1	extra-service.info
127.0.0.1	t6ryt56.info
127.0.0.1	sol-stats.info
127.0.0.1	google-stats49.info
127.0.0.1	google-stats45.info
127.0.0.1	google-stats50.info
127.0.0.1	stats-master88.info
127.0.0.1	eva-marine.info
127.0.0.1	stats-master99.info
127.0.0.1	worid-of-books.com
127.0.0.1	google-server43.info
127.0.0.1	tzv-stats.info
127.0.0.1	milapop.com
127.0.0.1	pop-stats.info
127.0.0.1	star-stats.info
127.0.0.1	multi-stats.info
127.0.0.1	google-stats44.info
127.0.0.1	books-loader.info  
127.0.0.1	google-stats73.info	
127.0.0.1	google-stats47.info
127.0.0.1	google-stats50.info