SANS lüftet das Mysterium der 10.000 infizierten Webseiten

Seither hat man vielerorts gerätselt, wie dieser Massenangriff möglich war. Die Experten vermuteten bereits, dass es sich um Attacken mittels SQL-Einspeisung handelt. Am 15.04.2008 bekam das SANS Internet Storm Center eine weitere Seite zugespielt, die Schadcode beinhaltete. Doch diesmal fand man die ausführbare Datei, die vermutlich von den bösen Buben benutzt wurde.

Man hatte bereits eine Ahnung, wie die Angriffe vor sich gingen. Ebenso wusste man, dass die Attacken automatisiert waren. Über die genaue Funktionsweise wusste man jedoch nichts. Die Taktik ist allerdings relativ simpel. Die Cracker benutzten Suchmaschinen, um potentiell angreifbare Applikationen zu finden. Danach attackierte man diese. Der Exploit ist lediglich ein SQL-Befehl. Dieser versucht ein Script-Tag in jede HTML-Seite der Webseite einzufügen. Das gefundene Werkzeug macht genau dies für den Anwender. Die GUI ist in chinesischer Sprache gehalten.