:

Szerző: Bizó Dániel

2010. június 10. 10:44

Tömeges SQL-injekciós támadások folynak a weben

Masszív SQL-injekciós szőnyegbombázás sújtotta a webet az elmúlt napokban, jelentették biztonsági cégek. Egyes becslések szerint több százezer oldalt törhettek meg a támadók, köztük olyanokat is, mint a Wall Street Journal.

Legalább az elmúlt két napban tömeges támadások folytak weboldalak ellen, amire több vállalat biztonsági részlege is felfigyelt, köztük a Cisco ScanSafe. A törések nagy része a jelek szerint Microsoft IIS/ASP oldalakat sújtott, az előzetes elemzések szerint azonban láthatóan tisztán SQL injekcióról van szó, így ha eddig nem is kerültek sorra az Apache/PHP és más webszerverek, akkor valószínűleg hamarosan fognak - legalábbis a korábbi hasonló esetek tapasztalatai alapján, mint amilyen a 2008-as tömeges támadások is voltak.

A támadók szokás szerint az SQL adatbázis manipulálásával cross-site scriptinget akarnak felépíteni nagy forgalmú weboldalakon, és egy távoli szerverről rosszindulatú JavaScriptet betölteni. A rosszindulatú szkript megtalálható  "ww.robint.us/u.js" URL-en, így erre keresve gyorsan detektálható lehet, hogy fertőzött-e egy weboldal ezzel a szkripttel. A támadás úgy tűnik, egy reklámkezelő rendszer manipulálásával végzi el az SQL injekciót. A meghívott szkript egy trójait igyekszik feltelepíteni, amely kapcsolatot épít fel egy távoli szerverrel, vagyis lényegében egy újabb zombihálózat építése zajlik. A Google .hu TLD-n lévő weboldalon nem talál "robint.us/u.js" sztringet.

A fertőzés nagyságáról eltérnek a vélemények, a Cisco szerint a Google alapján 7 ezer, míg a Sucuri szerint 114 ezer weboldalról lehet szó. A pontos számnál fontosabbnak tűnik, hogy olyan nagy látogatottságú weboldalak is áldozatul estek, mint a Wall Street Journal vagy a Travel Daily turisztikai magazin brit oldala, amelyek néhány nap alatt akár egyenként több millió látogatót szolgálnak ki.

A Cisco szerint bár most nagyobb figyelmet kapott ez a támadás, valójában csak egy a havi sok szer próbálkozás közül, és az oldalak egy részét újra és újra megtörik a hanyag adminisztrátorok miatt. Felhívja ugyanakkor a figyelmet arra, hogy minden jel szerint csökken az ilyen támadások hatásossága, az évekkel ezelőtti több millió feltört weboldalhoz képest a mostani néhány ezer hatalmas előrelépés, ami arra utal, hogy emelkedik a webszerverek biztonsági szintje.

a címlapról