Jürgen Auer
Legendäres Mitglied
Meldung vom 24.04.2008 - Heise-Security
Hunderttausende Webseiten (IIS mit anhängendem MS-SqlServer) seien mit schädlichem JavaScript infiziert. Einschließlich Servern von Regierungseinrichtungen und UNO.
Prinzip: Einschleusen von Code der Form
CODE DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(0x4400450043004C0041005200450020004 ...
man sieht: Eine Hexadezimalcodierung eines Strings, der anschließend ausgeführt wird. Dieser sucht alle Textfelder, hängt an diese JavaScript an, das lädt JavaScript-Code von einem chinesischen Server. Der JavaScript-Code versucht, Trojaner bei ungepatchten Clients einzubauen.
Weiterer Link vom 24.04: http://www.f-secure.com/weblog/archives/00001427.html
Ähnlich 22.04: http://securitylabs.websense.com/content/Alerts/3070.aspx
Alleine eine Suche nach nihaorr1 listet über 300.000 Fundstellen mit Servern, die gehackt worden sind.
Seinerzeit Vermutung: Über alte, nicht gepatchte Bugs in der Microsoft-Software würde das gehen.
Etwas später setzt sich Microsoft damit auseinander: Heise-Security,
Blogeintrag
IIS.NET - Blog
Tatsächlich war es wohl kein Ausnützen eines Bugs, sondern schlicht und einfach ein relativ automatisiertes Testen auf Sql-Injektionen.
Das kann natürlich auch auf jedem anderen System wiederholt werden, hier wird das allgemein interessant.
Sprich: Es scheint inzwischen Tools zu geben, die automatisiert auf Sql-Injektionen testen und damit Server der Reihe nach durchtesten. Und man sieht auch: Es interessiert gar nicht, den Server platt zu machen. Sondern interessant ist, daß der Server nun JavaScript ausliefert, das einen Hack beim Client ermöglicht. Was auf dem Server ist, ist völlig uninteressant. Auf den Clients kann man dann bsp. die Kommunikation zur Online-Bank per Keylogger mitschneiden. Und angesichts heutiger Laiennutzer muß womöglich nicht einmal ein Bug ausgenutzt werden: Es genügt womöglich ein Download-Angebot für ein Musikstück, das in Wirklichkeit eine Exe-Datei ist.
Hunderttausende Webseiten (IIS mit anhängendem MS-SqlServer) seien mit schädlichem JavaScript infiziert. Einschließlich Servern von Regierungseinrichtungen und UNO.
Prinzip: Einschleusen von Code der Form
CODE DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(0x4400450043004C0041005200450020004 ...
man sieht: Eine Hexadezimalcodierung eines Strings, der anschließend ausgeführt wird. Dieser sucht alle Textfelder, hängt an diese JavaScript an, das lädt JavaScript-Code von einem chinesischen Server. Der JavaScript-Code versucht, Trojaner bei ungepatchten Clients einzubauen.
Weiterer Link vom 24.04: http://www.f-secure.com/weblog/archives/00001427.html
Ähnlich 22.04: http://securitylabs.websense.com/content/Alerts/3070.aspx
Alleine eine Suche nach nihaorr1 listet über 300.000 Fundstellen mit Servern, die gehackt worden sind.
Seinerzeit Vermutung: Über alte, nicht gepatchte Bugs in der Microsoft-Software würde das gehen.
Etwas später setzt sich Microsoft damit auseinander: Heise-Security,
Blogeintrag
IIS.NET - Blog
Tatsächlich war es wohl kein Ausnützen eines Bugs, sondern schlicht und einfach ein relativ automatisiertes Testen auf Sql-Injektionen.
Das kann natürlich auch auf jedem anderen System wiederholt werden, hier wird das allgemein interessant.
Sprich: Es scheint inzwischen Tools zu geben, die automatisiert auf Sql-Injektionen testen und damit Server der Reihe nach durchtesten. Und man sieht auch: Es interessiert gar nicht, den Server platt zu machen. Sondern interessant ist, daß der Server nun JavaScript ausliefert, das einen Hack beim Client ermöglicht. Was auf dem Server ist, ist völlig uninteressant. Auf den Clients kann man dann bsp. die Kommunikation zur Online-Bank per Keylogger mitschneiden. Und angesichts heutiger Laiennutzer muß womöglich nicht einmal ein Bug ausgenutzt werden: Es genügt womöglich ein Download-Angebot für ein Musikstück, das in Wirklichkeit eine Exe-Datei ist.