SQL-Einspeisung
SANS lüftet das Mysterium der 10.000 infizierten Webseiten
Nach einer Code-Analyse fand man die einzelnen Arbeitsschritte des Werkzeugs heraus. Der Anwender kann den in die Seite zu einsetzenden Tag manuell konfigurieren. Per Standard würde das Tool das Schnippsel http://www.2117966 (Punkt) net/fuckjp.js injizieren. Danach verbindet sich das Werkzeug zu einer Seite in China. Man vermutet, dass man die Angreifer bezahlen muss, weil ein Script namens pay.asp aufgerufen wird. Als nächsten Schritt kann der Anwender das Tool starten. Es verbindet sich nun zu Google und sucht nach verwundbaren Seiten. Für das „Crawling“ verwendet das Werkzeug einen eingebetteten Browser, der auf bsalsa basiert. Ist eine verwundbare Seite gefunden, wird eine Attacke via SQL-Einspeisung gefahren. Wie das genau vor sich geht müsse man bei SANS erst noch genauer untersuchen. Gut sei die Bestätigung, dass es sich um SQL-Einspeisungen gehandelt habe. Weitere Informationen und ein Bild des bösartigen Werkzeugs finden Sie bei SANS. Um auf der sicheren Seite zu sein sollten Administratoren ihre Applikationen und Webseiten auf Sicherheit überprüfen. (jdo)
Sie interessieren sich für IT-Security? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.
|
Links zum Thema IT-Sicherheit |
Angebot |
|---|---|
|
Bookshop |
|
|
eBooks (50 % Preisvorteil) |
|
|
Software-Shop |