Infikovaných pol milióna IIS webových stránok

DSL.sk, 28.4.2008

V ďalšom hromadnom útoku, ktorý bol tentokrát smerovaný na stránky poskytované webovým serverom IIS od Microsoftu používajúcim ako databázu Microsoft SQL server, bolo infikovaných v posledných týždňoch viac ako pol milióna stránok.

Informovala o tom IT-bezpečnostná spoločnosť F-Secure.

Stránky boli infikované pomocou SQL injection útoku, teda zmenou dát v používanej databáze cez webové stránky nedostatočne kontrolujúce svoje vstupy.

F-Secure na svojej stránke uvádza aj časť vykonávaného SQL, ktorá modifikuje dáta. Táto zistí všetky textové políčka z celej databázy z tabuliek sysobjects a syscolumns a modifikuje ich pridaním HTML textu, odkazu na javascript súbor hostovaný na serveroch útočníkov.

Ak sa tak políčko zobrazuje priamo v generovanej HTML stránke, užívateľovi sa vloží do stránky odkaz na škodlivý javascript sťahovaný z niektorej z troch domén nmidahena.com, aspder.com a nihaorr1.com.

Podľa F-Secure útok nezneužíva žiadnu chybu IIS alebo Microsoft SQL Servera, ale programátorské chyby konkrétnych webových stránok napísaných v ASP respektíve ASPX. Toto potvrdila po prešetrení útokov aj spoločnosť Microsoft.

Podobný hromadný automatický útok využívajúci SQL injection sa objavil aj v marci, vtedy bol podľa dostupných informácií cielený špecificky na phpBB stránky.


Najnovšie články:



Diskusia:

zlate mysql Od: wweeeeeeeeeeeeeeeeeeeeeedd | Pridané: 28.4.2008 9:52 zlate mysql:) phpmyadmin :)) Odpovedať Známka: -2.0 Hodnotiť:

Re: zlate mysql Od reg.: forcer | Pridané: 28.4.2008 10:09 mysql ani phpmyadmin ta neuchrania pred blbo napisanou aplikaciou v php/rubi/python/perl. Odpovedať Známka: 10.0 Hodnotiť:

Re: zlate mysql Od reg.: Uhlik | Pridané: 28.4.2008 10:13 tak tak ... blbe aplikacie sa daju pisat na vsetkych existujucich platformach ;o) ... Odpovedať Známka: 7.5 Hodnotiť:

SQL injection Od: trigger* | Pridané: 28.4.2008 9:54 Ze sa este vobec najdu programatori, co to nevedia osetrit. Odpovedať Známka: 6.7 Hodnotiť:

Re: SQL injection Od: ansa | Pridané: 28.4.2008 10:00 to asi tazko budu programatori :) Odpovedať Známka: 10.0 Hodnotiť:

Re: SQL injection Od: Dimitry | Pridané: 28.4.2008 10:03 no oni sa tak nazyvaju :D . Ale tymto si clovek musi prejst, aby pochopil, preco je nutne pisat zdrojak "zlozitejsie" a nie vsetko inhned capat do "" a poslat do query. Najma mladi (a tym nemyslim vek) programatori si neuvedomuju hrozby. Odpovedať Známka: 10.0 Hodnotiť:

Re: SQL injection Od reg.: still | Pridané: 28.4.2008 10:18 Je jasne, ze zacinajuci programatori budu mat kod plny chyb, ale ani programator z dlhorocnou praxou nenapise 100% bezchybny zdrojak - to nie je ani tak statistika ako fakt. Odpovedať Známka: 10.0 Hodnotiť:

Re: SQL injection Od: Stevko_ | Pridané: 28.4.2008 10:04 Asi tak. Ale keď neviem programovať, tak použijem hotové riešenie alebo si nejaké nechám vyrobiť, a nie napíšem a možno to bude nejak fungovať. Odpovedať Známka: 0.0 Hodnotiť:

Re: SQL injection Od: 1Anin | Pridané: 29.4.2008 7:23 Hotové nemôžeš použiť bez súhlasu autora. Inak čelíš žalobám a súdnym sporom. Bežné aj v softvérovom priemysle... Odpovedať Hodnotiť:

Zase jeden bulvarny nadpis Od reg.: Uhlik | Pridané: 28.4.2008 10:13 to uz sa naozaj DSL.sk chce podobat na Novy Cas alebo je to len neumyselna nepresnost ? ... pri pohlade na nadpis som sa uzasol, ze v IIS bola konecne objavena nejaka bezpecnostna chyba ... v clanku samotnom pisete "Podľa F-Secure útok nezneužíva žiadnu chybu IIS alebo Microsoft SQL Servera", tak preco do nadpisu zavadzate pojem IIS tak, ako by to bola jeho chyba ? ... namiesto "IIS" ste mohli radsej pouzit "nekvalitne naprogramovanych", aby bolo jasne, ze su to stranky nekvalitne napisane nekvalitnymi kodermi, ktori o programovani toho vela nevedia ... Odpovedať Známka: 1.1 Hodnotiť:

Re: Zase jeden bulvarny nadpis Od reg.: Redakcia DSL.sk | Pridané: 28.4.2008 10:37 Nie je to nepresnosť, je to prostý fakt. Podľa F-Secure a najmä podľa Microsoftu ide len o IIS stránky. (Z oznámenia MS: ... these particular attacks are targeting sites hosted on IIS web servers ...) Článok je úplne presný. Čo a prečo si domýšľate z nadpisov, skutočne neovplyvníme. Kompletný útok a konkrétnu zneužívanú SQL injection chybu sme nevideli (z pochopiteľných dôvodov sa nezverejňuje), či využíva nejakú špecifickú vlastnosť IIS (nie chybu) respektíve funguje len na ňom nevieme ani to netvrdíme. Hoci to článok nijako nenaznačuje, keď majú SQL injection chyby masovo účinné, zvyčajne atakujú nejakú triedu programátorských chýb, ktorá je typická pre použitú technológiu. Rozumiem, že niekto má obľúbenú jednu platformu, niekto nejakú inú, je ale škoda, keď sa od najväčších odborníkov objavujú podobné fanatické príspevky. Odpovedať Známka: 1.1 Hodnotiť:

Re: Zase jeden bulvarny nadpis Od: quix_ | Pridané: 28.4.2008 13:10 suhlasim s uhlikom, ze nadpis je nepresny :P velmi by tam pomohlo nieco ako "hostovanych na IIS" co podla vasich slov je aj v oznameni od ms. Odpovedať Známka: -5.0 Hodnotiť:

Re: Zase jeden bulvarny nadpis Od: yanick (logged out) | Pridané: 28.4.2008 14:13 Aj ja sa pridavam, tiez ma ten nadpis zmiatol, ale ked som rozmyslal nad spravnym nadpisom, tak ma nenapadlo nic kratke a vystizne, mozno nieco ako "Zneuzitych polmiliona nekvalitnych stranok na IIS", ale tiez je to skor bulvar. Odpovedať Hodnotiť:

Re: Zase jeden bulvarny nadpis Od reg.: wechet | Pridané: 28.4.2008 16:15 Mohlo to byt napisane tak ako to publikoval f-secure. Nieco v style, ze bolo pomocou SQL Injection infikovanych pol miliona webovych stranok a potom niekde v clanku spomenut IIS. Lebo tu nejde o IIS, o SQL injection Odpovedať Hodnotiť:

Suhlasim s tebou Uhlik Od: Kurko | Pridané: 28.4.2008 10:42 Suhlasim s tebou Uhlik Odpovedať Známka: -3.3 Hodnotiť:

Re: Suhlasim s tebou Uhlik Od: claudius | Pridané: 28.4.2008 16:40 aspon raz ma uhlik pravdu. to sa nestava casto ;) Odpovedať Hodnotiť:

Pridať komentár