Сотни тысяч URL были атакованы (на момент написания данной новости их было
уже 694 000) посредством SQL-инъекции. В ходе атаки в базах данных был изменен
текст, и в результате на поврежденных страницах хакеры разместили от одной до
нескольких ссылок на определенный файл JavaScript.

Похоже, что атака не была нацелена на какие-то конкретные серверы, так как ей
подверглись ресурсы, работающие на ASP, ASP.NET, ColdFusion, JSP и PHP, и нет
сомнения, что это еще не полный список. Атаки с внедрением SQL-кода использует
плохо написанные Web-приложения, которые напрямую пишут данные в базы данных. По
сути, SQL-инъекция не зависит от языка написания приложений: ошибки в
программировании позволяют SQL-инъекции использовать практически любой язык
программирования.

В данном случае SQL-инъекция корректирует текстовые поля внутри базы данных,
добавляя к ним фрагмент HTML, который, в свою очередь, загружает JavaScript с
удаленного сервера, обычно с http://lizamoon.com/ur.php, а в последнее время и с
http://alisa-carter.com/ur.php. Оба домена относятся к одному и тому же IP, и на
данное время этот сервер не функционирует, что означает, что при переходе по
данным ссылкам браузеры не могут загрузить вредоносные скрипты. Использованный
ранее скрипт перенаправлял пользователей на сайт с поддельным анти-вирусом.

Огромный масштаб атаки (и быстрый рост вновь зараженных URL) был
впервые замечен Websense
Security Labs
. Во вторник около 28 000 сайтов подверглись атаке, сейчас их
число увеличилось уже в 20 раз, и на данный момент оно продолжает расти.

Внедренный код также был обнаружен на страницах Apple iTunes. Apple собирает
RSS ленты от подкастеров, вещающих через iTunes. И во многих случаях атакам
подверглись именно эти подкастеры. В результате вредоносный код затронул систему
Apple; тем не менее, благодаря тому, как Apple обрабатывает ленты RSS, код не
распространяется далее, вставленный фрагмент HTML просто не работает.

Внедрение SQL-кода по данному принципу периодически происходит уже полгода.
Название домена, содержащего JavaScript, каждый раз меняется, но название файла
с окончанием на — ur.php и сам стиль внедрения остаются неизменными. Действия
скриптов также однообразны – всплывающие окна и загрузка вредоносного ПО.
Предыдущие атаки, правда, были в разы скромнее – сотни URL вместо нынешних сотен
тысяч. Первые атаки происходили с IP, расположенных в Восточной Европе и России.



Оставить мнение