Hacking
Here you find 1 blog posts about Hacking.
Massivt SQL injection angrep på .asp-nettsider
- 25.05.2008
I går kom jeg over et norsk nettsted som så ut til å være hacket. Jeg Googlet litt rundt, og ut fra hva jeg kan se er ikke dette spesielt nevnt i norske IT-medier. Eneste jeg fant var en engelsk artikkel på IDG.no, og den manglende omtalen er grunnen til at jeg skriver dette blogginnlegget som en advarsel. Ganske mange norske nettsteder er eller har vært hacket.
I følge SecureWorks startet angrepene rundt 12 mai, og skjer fra pc'er som er infiserte av Asprox-trojaneren:
As of yesterday, we observed the Asprox botnet pushing an update to the infected systems, a binary with the filename msscntr32.exe. The executable is installed as a system service with the name "Microsoft Security Center Extension", but in reality it is a SQL-injection attack tool.
When launched, the attack tool will search Google for .asp pages which contain various terms, and will then launch SQL injection attacks against the websites returned by the search. The attack is designed to inject an iframe into the website source which will force visitors to download a javascript file from the domain direct84.com. This file in turn redirects to another site, where additional malicious javascript can be found. Currently the secondary site appears to be down, however it is likely that when successful, the site attempts to exploit the visitor's web browser in order to install additional copies of either Danmec, Asprox and/or the SQL attack tool.
Som det fremgår av sitatet over er domenet direct84.com ett domene man skal være obs på, men det er ikke det eneste. Hos ZDnet leser jeg følgende:
Now comes the fast-flux. The latest massive SQL injection attack courtesy of the Asprox botnet, is this time using the banner82.com domain which continues to be in a fast-flux mode, namely, it’s simultaneously hosted at ten different malware infected IPs, with the IPs constantly changing.
For å oppsummere, har du et nettsted som er programmert i ASP (Active Server Pages), vær obs på om ukjente javascript prøver å laste på nettstedet ditt.
Så langt har jeg funnet script som peker til følgende domener (lenkene peker til Google-søk som viser nettsider i Norge som er hacket, har vært hacket eller omtaler viruset):
direct84.com, banner82.com, adw95.com, dota11.cn, qiqigm.com, nihao112.com, nihaorr1.com, killwow1.cn, nihaoel3.com, ririwow.cn, firestnamestea.cn, bbs.jueduizuan.com, kisswow.com.cn, 9i5t.cn.
Ønsker du å lete videre etter andre norske domener som har blitt hacket, kan du søke etter domenene du finner på denne nettsiden.
Som søkene over viser er flere norske nettsteder infisert (noen ser allerede til å ha fått ryddet opp). For noen av de som ikke har fått ryddet opp har Google begynt å vise advarsler i søkeresultatet, og hvis du prøver å gå inn på nettstedene via søkeresultatet. Det er kanskje på plass med en advarsel mot å besøke hackede nettsteder, for som darkreading skriver:
Asprox, meanwhile, is also recruiting new bots in its attack -- when a user visits a site infected by Asprox via SQL injection, he or she ends up infected with Asprox botware. Unbeknownst to the user, his or her, machine could, in turn, receive a download of the SQL injection toolkit to continue the cycle. “This has potential to spread like a worm,” Stewart says.
Oppdatering: Lei utvikler har postet en kommentar hvor han henviser til en løsning som kan stoppe angrepene.
Update: For all my foreign visitors - if you are looking for an solution to stop the attacks, visit this page.