A hétvégén két automatizált támadással először kb. 70 majd 93 ezer weboldalra pakoltak kártékony kódokat ismeretlen támadók. A Google-t használó szkriptek Microsoft SQL szervereket kerestek és fertőztek meg oly módon, hogy az weboldalak adattábláiban szereplő összes szöveges információ után egy távoli JavaScriptet betöltő kódot fűztek (nem bízták a véletlenre a dolgot...). Az így betöltődő program több ismert exploittal próbálta megfertőzni a feltört oldalak látogatóinak számítógépét. Ezek között előfordult egy több mint egy éves MS Data Access Components hiba, de egy októberi RealPlayer sebezhetőség kihasználása is. Az első körben megtört gépeket meglepően hamar rendberakták, a második hullám áldozataira töltött kód pedig nem működött (lúzerek :), szóval elég jól megúsztuk ezt az esetet, azt hiszem.
Arról nincs információ, hogy a támadók kihasználtak-e valamilyen, eddig nem ismert sebezhetőséget a Microsoftos adatbázisszerverekben
, az minden esetre elég furcsa, hogy ennyi adatbázisba bele tudtak firkálni*. Az sem világos, hogy az ügynek van-e köze az ukrán
DDoS balhéhoz?
*Rájöttem, hogy ASP-s injektet csinálni jó móka, mivel egyszerre több kérés is futtatható ha pontosvesszőket használunk (bár ez nyilván alkalmazásfüggő). A gonosz kis robotok ehhez hasonló rondaságokat kértek a kiszolgálóktól:
A Computer World cikke
itt.
Utóirat: sok a dolgom mostanában, úgyhogy kicsit lassan fognak csordogálni a posztok mostanában, de tartsatok ki! Kösz ;)