image

120.000 Nederlandse pagina's gehackt tijdens aanval

zondag 1 januari 2012, 12:12 door Redactie, 16 reacties

Zo'n 120.000 pagina's op Nederlandse websites zijn tijdens een grootschalige aanval gehackt en voorzien van malware die de computers van bezoekers infecteert. In totaal zouden meer dan één miljoen webpagina's besmet zijn geraakt, aldus het Internet Storm Center (ISC). Begin december stond de teller nog in totaal op 160.000. De aanvallers plaatsten via SQL-Injection een link op de pagina's, die naar het domein lilupophilupop.com wijst. Dit domein zou bezoekers met een nep-virusscanner proberen te infecteren.

Aanval
Hoewel websites uit verschillende landen zijn getroffen, zijn de meeste besmette pagina's in Nederland gevonden. Door op "script src="http://lilupophilupop.com/" in Google te http://www.google.nl/search?q=site:.nl+" script+src%3D"http://lilupophilupop.com/"" zoeken is het aantal pagina's te vinden.

"Op het moment lijkt het erop dat de aanval deels geautomatiseerd en deels handmatig is. Het handmatige deel en het aantal geïnfecteerde sites suggereert een grote groep aanvallers of een lange voorbereidingsperiode", zegt ISC-handler Mark Hofman.

Reacties (16)
01-01-2012, 12:33 door SLight
EDIT: De regel is aangepast en ik neem ook geen waarschuwingen meer waar.

EDIT2: De zoeklink werkt nog steeds niet. Deze link doet 't wel: https://encrypted.google.com/search?q=%3Cscript%20src=%22http://lilupophilupop.com/sl.php%22%3E

Of deze code
<a href="https://encrypted.google.com/search?q=%3Cscript%20src=%22http://lilupophilupop.com/sl.php%22%3E" target="_blank">zoeken</a>
01-01-2012, 12:44 door Redactie
Bij het vermelden van de code hadden we de < laten staan. Dat is inmiddels opgelost. Als het goed is zou je de melding niet meer moeten krijgen.
01-01-2012, 13:13 door Anoniem
Nog beter zou zijn:
"script src="http://lilupophilupop.com/ site:*.nl"
01-01-2012, 13:32 door Anoniem
The pages are all from one particular .nl domain and its subdomains. Can someone warn the webmaster???

append site:.nl to the Google query like below:

"script src="http://lilupophilupop.com/" site:.nl

(Happy New Year!)
01-01-2012, 13:58 door Anoniem
Okay I just send out a warning message to the webmaster (email address listed in whois) from that particular .nl domain as said at 13.32 and pointing to this article.
01-01-2012, 14:08 door [Account Verwijderd]
[Verwijderd]
01-01-2012, 17:13 door Anoniem
http://lilupophilupop.com = 194.28.114.102
01-01-2012, 17:50 door [Account Verwijderd]
[Verwijderd]
01-01-2012, 22:23 door Bitwiper
Als ik op Google.com zoek naar:
lilupophilupop site:nl
vind ik inderdaad "120,000" results. Maar heel veel gecachte pagina's daarvan zijn oud en de bijbehorende sites lijken nu schoon.
Door Peter V:
Door Anoniem: http://lilupophilupop.com = 194.28.114.102
Google heeft de site inmiddels ook al geblokkeerd.

Je kunt er dus niet meer op terecht komen en geïnfecteerd raken.
Als je een webbrowser gebruikt die van Googles blacklist gebruik maakt zou dat kunnen helpen. Bijv. MSIE doet dat niet.

Daarnaast, reken er maar op dat de IP-adressen van dat soort sites vaak wisselen. Bovendien veranderen de hostnames regelmatig. Disable Java in je webbrowsers (of verwijder het van je systeem) en zorg dat alle plugin software (Adobe Reader, Flash, Quicktime, Realplayer etc.) absoluut up-to-date zijn.

Overigens een slechte zaak dat Adobe nog geen update van Flash heeft uitgebracht terwijl deze een bekend lek bevat (zie http://isc.sans.edu/diary.html?storyid=12166).
02-01-2012, 04:10 door Anoniem
De sites komen van willekeurige landen. Er zijn maar een paar Nederlandse sites bij.
02-01-2012, 15:02 door Anoniem
Er bestaan heel veel heel goede Hosted WEB APPLICATION SCANNING services die je webapplicatie binnenste buiten keren en je voor dit soort simpliciteiten beschermen.

Verder zijn er zat slimme ZZP´ers die je application stack met zoiets als Rational appscan helemaal kunnen doorlichten.

Security is niet zo moeilik, maar je moet wel actie nemen.
02-01-2012, 16:16 door Anoniem
Als je

site:nl script src=http://lilupophilupop.com/sl.php -vakantieland.nl

kom je opeens nog maar op 34000 paginas uit... ipv 119000
02-01-2012, 20:36 door Anoniem
Voor eenieder die z'n databases in MSSQL heeft nagelopen: De injection vond plaats in ALLE databases, dus ook in de Master database (mits de user permissions dat toestonden natuurlijk). Systemen die gebruik maken van MSReplication kunnen problemen verwachten.

Kijk daarom ook naar de volgende tabellen in de Master database:

MSReplication_Options
spt_fallback_dev
spt_values

mvg
Stefan
03-01-2012, 17:24 door Anoniem
For preventings these attacks implement a web application firewall such as mod_security, Urlscan etc.. and deny commands like
dEClaRe
VaRchaR
SELECT
InSerT

and
- Lock down your system views so they cannot be accessed by your website logons.
- Put all your CUD (create, update, delete) statements in stored procs with execute permission and then only grant your website logon select permission.
- Use parametrised queries instead of string concatenation to build SQL statements.

- Sanitise all input parameters used for SQL that are submitted from your website.
- Create some simple ISAPI rules to forward requests like these to 403 error pages.
- Ensure any error messages are hidden from your website users.
03-01-2012, 19:46 door Anoniem
From first hand experience I can tell that implementing Microsoft's Urlscan 3.1 with a configuration as suggested by http://learn.iis.net/page.aspx/476/common-urlscan-scenarios/ does not stop Lilupophilupop.
04-01-2012, 13:03 door Anoniem
Even voor mijn beeldvorming: op welke wijze wordt de SQL code geinjecteerd?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.