image

1,5 miljoen pagina's gehackt door LizaMoon-aanval

vrijdag 1 april 2011, 11:41 door Redactie, 10 reacties

De grootschalige webaanval van deze week is veel groter dan in eerste instantie werd aangenomen, inmiddels zijn al 1,5 miljoen pagina's van kwaadaardige code voorzien. De aanvallers gebruiken SQL-injectie voor het kraken van de pagina's en het plaatsen van de code. De geplaatste code wijst onder andere naar het domein lizamoon.com, vandaar de naam LizaMoon-aanvallen. Inmiddels worden ook andere domeinen gebruikt, waaronder stats-master111.info. Deze domeinnaam was op 21 oktober geregistreerd, wat mogelijk bewijs is dat de aanvallen toen voor het eerst plaatsvonden.

Scareware
Gebruikers die de gehackte pagina's bezoeken worden door de geïnjecteerde code naar een website doorgestuurd die een nep-virusscanner aanbiedt. De website bevat geen drive-by downloads en probeert bezoekers via social engineering te misleiden tot het installeren van de scareware. De meeste slachtoffers zijn afkomstig uit de Verenigde Staten, gevolgd door Brazilië.

Beveiligingsbedrijf Websense merkt op dat Google inmiddels 1,5 miljoen resultaten op de kwaadaardige geïnjecteerde code weergeeft. "Dit is misschien een opgeblazen getal, maar het is veilig om te zeggen dat het om honderdduizenden gaat." Beveiligingsonderzoeker Dancho Danchev schrijft dat de gebruikte domeinen zijn geregistreerd via automatisch geregistreerde Gmail-accounts. "Uit voorzorg om het lastiger te maken de campagne via één e-mailadres te onthullen."

Reacties (10)
01-04-2011, 12:17 door SirDice
Wat ik nog een beetje mis is welke bug (of bugs) in welke web applicatie(s) er misbruikt wordt. Wat er geinjecteerd wordt vind ik niet zo bijster interessant eigenlijk.
01-04-2011, 13:12 door Anoniem
Hoi,

dan heb je het nog niet echt goed gelezen, er wordt een melding gemaakt van SQL injection. Daar wordt dus gebruik van gemaakt. Aangezien dit een generiek probleem is voor de meeste webservers is het dus niet specifiek aan één OS/App toe te kennen.

Helaas detecteren Firewalls en IPS'en dit soort aanvallen niet, vaak alleen al niet omdat het verkeer geencrypt is (HTTPS) waardoor dit soort aanvallen nog op grote schaal kunnen voorkomen.

De enige echte oplossingen zijn goede input validatie op de website (kijk eens op www.owasp.org) of het plaatsen van een WAF (Web Applicatie Firewall) welke de rol van input validatie kan overnemen als de programmeurs dit zelf niet kunnen / willen oplossen.
01-04-2011, 14:00 door Anoniem
Input validatie om SQL injectie te voorkomen is een typische uitroep van een amateur.

Context-afhankelijk escapen of geparametriseerd werken werkt wel.
01-04-2011, 14:00 door SirDice
Door Anoniem: Dan heb je het nog niet echt goed gelezen, er wordt een melding gemaakt van SQL injection.
Ik kan best lezen maar een generieke SQL injection zegt me niet veel.

Aangezien dit een generiek probleem is voor de meeste webservers is het dus niet specifiek aan één OS/App toe te kennen.
Nee, het is een probleem in de web applicatie. Mede door de aantallen verwacht ik dat het een en ander geautomatiseerd gebeurd en vraag ik me af of het om een specifieke bug gaat of dat het een algemeen probleem is.

De enige echte oplossingen zijn goede input validatie op de website (kijk eens op www.owasp.org) of het plaatsen van een WAF (Web Applicatie Firewall) welke de rol van input validatie kan overnemen als de programmeurs dit zelf niet kunnen / willen oplossen.
Ik weet hoe het werkt daarom wil ik graag weten hoe en waarop deze malware z'n SQL injectie doet.
01-04-2011, 14:00 door SirDice
double post
01-04-2011, 14:28 door Anoniem
Het lijkt erop dat mijn PC voor de injecties zorgt zodra ik een site bezoek.
Hoe kan ik dit op mijn PC opsporen?
01-04-2011, 16:23 door SirDice
Door Anoniem: Het lijkt erop dat mijn PC voor de injecties zorgt zodra ik een site bezoek.
Hoewel niet onmogelijk lijkt mij dit nogal onwaarschijnlijk. Het zou de eerste keer zijn dat het op die manier gedaan zou worden.
02-04-2011, 09:43 door Anoniem
Microsoft aspx pagina's zijn standaard hiertegen beveiligd, zal dus wel een php site zijn.
03-04-2011, 22:20 door waarom_
Door Anoniem: Hoi,

Helaas detecteren Firewalls en IPS'en dit soort aanvallen niet, vaak alleen al niet omdat het verkeer geencrypt is (HTTPS) waardoor dit soort aanvallen nog op grote schaal kunnen voorkomen.


Volgens mij zal een Firewall dit ook nooit ontdekken. Als het puur een firewall is bepaal je daar alleen maar of er verkeer ( eventueel met protocoll ) via een bepaalde port doorgelaten wordt of niet. En ik kan nergens opmaken dat de meeste sites HTTPS gebruiken, en denk dat dan ook niet, maar goed. En wat betreft de IPS ( IDS ) dat is wel een mogelijkheid maar als dit een nieuwe manier is, kan het best zijn dat er nog geen regels voor zijn en dan zal dit ook niet gedetecteerd worden.

Inderdaad lijkt het wel door het grote aantal dat dit op een of andere manier geautomatiseerd is.
04-04-2011, 15:41 door SirDice
Door Anoniem: Microsoft aspx pagina's zijn standaard hiertegen beveiligd, zal dus wel een php site zijn.
Da's leuk maar ik zie toch ook een hoop asp pagina's die geinfecteerd zouden zijn. Bovendien zie ik ook aspx dus zo goed is dat dus ook niet beveiligd.

http://www.google.nl/#q=%22%3Cscript+src%3Dhttp://*/ur.php%22&hl=nl&safe=off&prmd=ivns&ei=1MmZTf_-Lc7qOYbvpMAH&start=10&sa=N&fp=b9d808cc2b330b30
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.