Resultados 1 al 3 de 3

Tema: LizaMoon, otro ataque de inyección SQL masivo

  1. #1 LizaMoon, otro ataque de inyección SQL masivo 
    Colaborador HH
    Fecha de ingreso
    Sep 2006
    Ubicación
    Argentina
    Mensajes
    2.073
    Descargas
    16
    Uploads
    0
    Websense ha descubierto (de nuevo) un ataque de inyección SQL masivo. Páginas legítimas están siendo contaminadas, a través de un fallo de inyección SQL, con código que redirige al usuario hacia páginas web que intentan infectarle.

    Los atacantes están consiguiendo contaminar páginas web legítimas con código JavaScript propio y que redirige al visitante a páginas maliciosas. El fallo que están aprovechando para conseguirlo es un problema de inyección SQL sobre sus aplicaciones web. Cabe destacar que, aunque no se trate de un fallo de esta base de datos, se están centrando en las páginas que tienen su infraestructura basada en Microsoft SQL Server. El fallo es de programación, aunque todavía no se conoce exactamente el punto en común de las webs atacadas.


    Las páginas maliciosas

    El ataque ha sido bautizado como LizaMoon, que fue el primer dominio confirmado que se utilizaba para este ataque. Por ahora, las páginas que insertan en las web legítimas tienen una estructura similar

    hxxp://*.*/ur.php

    y si se realiza una búsqueda en Google de:

    "<script src=http://*/ur.php"

    Aparecen más de millón y medio de páginas como resultado. Esto, obviamente, no indica que todas estén infectadas.

    Estas páginas "ur.php", a su vez, contienen una redirección a través de document.location a otras que intentan contaminar con un rogueware llamado "Windows Stability Center" al usuario. En VirusTotal, la primera fecha en la que se recibió este rogueware, con md5 815d77f8fca509dde1abeafabed30b65, es el día 31 de marzo, procedente de la India y solamente era detectado por dos motores. Tres días más tarde, es detectado por firmas por 24 de 42 de estos antivirus.

    El ataque de inyección SQL

    Las páginas que están siendo víctimas de la inyección tienen algún problema en su código (típicamente ASP) que permite, a través de formularios, GET o cualquier otra entrada del usuario, incrustar código SQL. Los atacantes han conseguido así alterar las bases de datos de alguna forma, añadiendo sus scripts. Como la página se nutrirá de algún campo de esa base de datos para mostrarlo en su web, tomará los datos alterados y mostrará el contenido que el atacante haya incrustado.

    Para que esto ocurra a gran escala y de forma automática, los atacantes deben utilizar una misma estructura de base de datos (en este caso Microsoft SQL Server) y una aplicación web más o menos común. O en su defecto usar la fuerza bruta para encontrar nombres de campos comunes, por ejemplo.

    un ejemplo de sentencia utilizada para realizar la inyección SQL:

    GET ....

    Que de forma más legible, quedaría algo así:

    GET ....

    Se trata de una actualización mal intencionada de un campo.

    No es la primera vez

    Hace justo 3 años, en abril de 2008, se vivió una situación muy parecida con más de medio millón de páginas afectadas. Se sufrió un ataque masivo de inyección SQL a webs basadas en Microsoft SQL Server y ASP. Igualmente, introducían código que redirigía a webs que intentaban infectar al visitante. Microsoft tuvo que salir a la palestra a explicar que el fallo no tenía nada que ver con su servidor web sino con una mala programación.


    Más información
    Update on LizaMoon mass-injection and Q&A
    http://community.websense.com/blogs/...injection.aspx

    Questions about Web Server Attacks
    http://blogs.technet.com/b/msrc/arch...r-attacks.aspx

    Fuente
    "¿Acaso vuestro terror se asemeja al del despotismo? Si, la espada que brilla en las manos de los héroes de la libertad se asemeja a la espada con la que están armados los esbirros de la tiranía."
    Citar  
     

  2. #2  
    Avanzado
    Fecha de ingreso
    Feb 2011
    Mensajes
    442
    Descargas
    0
    Uploads
    0
    ¿Y esto qué tiene de noticia? Una botnet buscando, encontrando y aplicando vulnerabilidades SQL
    Ezine HH mas de 5.000.000.000 descargas!!!!!!!!!
    Citar  
     

  3. #3  
    Colaborador HH
    Fecha de ingreso
    Sep 2006
    Ubicación
    Argentina
    Mensajes
    2.073
    Descargas
    16
    Uploads
    0
    Cita Iniciado por Goatse Ver mensaje
    ¿Y esto qué tiene de noticia? Una botnet buscando, encontrando y aplicando vulnerabilidades SQL
    "¿Acaso vuestro terror se asemeja al del despotismo? Si, la espada que brilla en las manos de los héroes de la libertad se asemeja a la espada con la que están armados los esbirros de la tiranía."
    Citar  
     

Temas similares

  1. Nuevo ataque masivo de inyección SQL
    Por LUK en el foro NOTICIAS
    Respuestas: 1
    Último mensaje: 09-04-2009, 04:34
  2. Respuestas: 3
    Último mensaje: 15-05-2008, 03:59
  3. Respuestas: 1
    Último mensaje: 27-04-2008, 23:19
  4. Respuestas: 1
    Último mensaje: 02-07-2004, 12:36
  5. Respuestas: 0
    Último mensaje: 19-03-2003, 19:37

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •