image

Grootschalige SQL Injectie-aanval teistert websites

dinsdag 8 mei 2012, 11:28 door Redactie, 13 reacties

Op dit moment vindt er weer een grootschalige SQL Injectie-aanval plaats waarbij duizenden websites worden gehackt en voorzien van kwaadaardige code om bezoekers met malware te infecteren. De aanvallers weten via SQL Injectie een iframe op de pagina's van de lekke websites toe te voegen. In deze iframes staan verwijzingen naar vier domeinnamen; hgbyju.com, hnjhkm.com, nikjju.com en njukol.com die naar het IP-adres 31.210.100.242 wijzen.

Exploit
Zodra een bezoeker de gehackte website bezoekt, wordt de browser naar één van de kwaadaardige websites doorgestuurd. Daar wacht een HTML-bestand dat twee exploits probeert te laden. Het gaat om een exploit voor een recent Java-lek uit februari 2012 en een lek in Adobe Reader van februari 2010. Is de aanval succesvol, dan wordt er een Trojaans paard geïnstalleerd.

Onderzoekers van Symantec zochten via Google naar iframes met de vier domeinnamen en kregen 1,2 miljoen hits. "Als we naar de zoekresultaten van Google kijken is de huidige golf aanzienlijk", stelt analist Stephen Doherty.

Reacties (13)
08-05-2012, 12:24 door SirDice
De aanvallers weten via SQL Injectie een iframe op de pagina's van de lekke websites toe te voegen.
Wederom wordt er verzuimd om aan te geven welke lekken er misbruikt worden. Dat ze troep weten te injecteren zal me een rot zorg zijn, ik wil weten wat ik kan doen om mijn servers te beschermen zodat die troep er uberhaubt niet op komt.
08-05-2012, 12:36 door Anoniem
Helemaal gelijk geef ook eens wat meet informatie over dergelijke zaken, anders heb je er toch helemaal niks aan.
08-05-2012, 13:06 door yobi
SQL-injectie is het misleiden van invoervelden / parameters in de url-balk om de achterliggende database te manipuleren. Een makkelijke test is het typen van een ' in een invoerveld. Indien er een SQL foutmelding verschijnt, dan is er waarschijnlijk een kwetsbaarheid. Vroeger was het meestal mogelijk om in te loggen door bij gebruikersnaam a' or 1 = 1 ;-- in te vullen. Men logt dan in al de eerste gebruiker in de database (meestal de administrator).

Voor meer voorbeelden (engels):
http://www.unixwiz.net/techtips/sql-injection.html

Voor ieder type database of scripttaal zijn instructies voorhanden om de invoervelden te filteren. Dat maakt het doen van een SQL-injectie onmogelijk.
08-05-2012, 13:28 door SirDice
Door yobi: SQL-injectie is het misleiden van invoervelden / parameters in de url-balk om de achterliggende database te manipuleren.
Ik weet heel goed hoe een SQL-injectie werkt. Waar het mij om gaat is welke specifieke web applicaties een lek bevatten die middels een SQL-injectie misbruikt kan worden.
08-05-2012, 13:46 door Unit 10 Forensics
Door SirDice:
De aanvallers weten via SQL Injectie een iframe op de pagina's van de lekke websites toe te voegen.
Wederom wordt er verzuimd om aan te geven welke lekken er misbruikt worden. Dat ze troep weten te injecteren zal me een rot zorg zijn, ik wil weten wat ik kan doen om mijn servers te beschermen zodat die troep er uberhaubt niet op komt.

Goed punt, dit missen wij ook (vaker) in de berichtgeving. Wat ons betreft moet nieuws ook een bijdrage leveren aan een meer veilige wereld.
08-05-2012, 13:51 door Anoniem
Door Unit10:
Door SirDice:
De aanvallers weten via SQL Injectie een iframe op de pagina's van de lekke websites toe te voegen.
Wederom wordt er verzuimd om aan te geven welke lekken er misbruikt worden. Dat ze troep weten te injecteren zal me een rot zorg zijn, ik wil weten wat ik kan doen om mijn servers te beschermen zodat die troep er uberhaubt niet op komt.

Goed punt, dit missen wij ook (vaker) in de berichtgeving. Wat ons betreft moet nieuws ook een bijdrage leveren aan een meer veilige wereld.

Zou daar wellicht enige "hulpvaardigheid" en "zorgvuldigheid" aan toegevoegd kunnen worden? Zonder details over de exploits/cms'en is dit bericht wat mij betreft pure FUD-verspreiding door een partij die er iets teveel baat bij heeft dat zijn security-oplossingen verkocht worden.
08-05-2012, 14:14 door yobi
Op exploit-db.com is dit de meest recente: Solarwinds Storage Manager 5.1.0 SQL Injection. Deze exploit is reeds in metasploit toegevoegd.

Inderdaad jammer, dat het probleem niet specifiek wordt benoemd.
08-05-2012, 14:28 door yobi
In het originele artikel wordt ook niet duidelijk welke software kwetsbaar is:
http://www.symantec.com/connect/blogs/lizamoon-mass-sql-injection-tried-and-tested-formula
08-05-2012, 14:42 door Anoniem
IP staat in turkye: https://apps.db.ripe.net/search/query.html?searchtext=31.210.100.242&search%3AdoSearch=Search#resultsAnchor
08-05-2012, 15:20 door yobi
Moeilijk om te detecteren of een bepaald CMS het probleem is. Waarschijnlijk wordt een automatische tool gebruikt om SQLi te detecteren. Als ik naar de domainnamen zoek zie ik websites in de vorm: www.domain.com/index.aspx?id=1 (waar hackers naar zoeken inurl:aspx?id=)
08-05-2012, 16:01 door SirDice
Als ik inderdaad ook zoek via Google zie ik vooral ASP en ASPX. Da's mooi voor mij, die meuk gebruik ik niet.

Ik vraag me nu alleen wel af of dit een algemeen probleem is met ASP(X) of is het gewoon slecht programmeer werk geweest?
08-05-2012, 16:55 door Anoniem
Door Unit10:
Door SirDice:
De aanvallers weten via SQL Injectie een iframe op de pagina's van de lekke websites toe te voegen.
Wederom wordt er verzuimd om aan te geven welke lekken er misbruikt worden. Dat ze troep weten te injecteren zal me een rot zorg zijn, ik wil weten wat ik kan doen om mijn servers te beschermen zodat die troep er uberhaubt niet op komt.

Goed punt, dit missen wij ook (vaker) in de berichtgeving. Wat ons betreft moet nieuws ook een bijdrage leveren aan een meer veilige wereld.

Inderdaad. Het maakt me niet uit als het Parool of de Volkskrant enz. verder geen praktische informatie geven, maar van deze website die over security gaat verwacht ik ook veel en veel meer.
09-05-2012, 10:24 door _R0N_
Door SirDice: Als ik inderdaad ook zoek via Google zie ik vooral ASP en ASPX. Da's mooi voor mij, die meuk gebruik ik niet.

Ik vraag me nu alleen wel af of dit een algemeen probleem is met ASP(X) of is het gewoon slecht programmeer werk geweest?

Het is gewoon slecht programeren.. net als in iedere andere taal moet je gewoon filteren om injection te voorkomen..

In ASP(X) is dat zelfs heel eenvoudig maar je moet het wel gebruiken..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.