Daniel Bradbury Dočekal Stovky tisíc kompromitovaných webových adres v masivním útoku využívajícím SQL Injection, vsunutí SQL kódu do neošetřeného vstupu webové aplikace. Vsouván je odkaz s útočným skriptem kdy je uživatel přesměrován na podvodné „antivirové“ software.
Chyba při zpracování vstupních parametrů umožňuje útočníkům využít tzv. SQL Injection – vsunutí SQL kódu. Ten se potom spustí ve webové aplikaci a umožní vložit data do SQL serveru. Používá se jako tradiční prostředek pro hacking, ale své využití má už řadu let ve vkládání spamu – zejména odkazů na útočný kód.
K tématu :
Čerstvá vlna útoku vkládá odkaz na JavaScript z domén lizamoon.com a alisa-carter.com (v obou případech odkaz vede na ur.php a obě domény jsou aktuálně odstavené a nefunkční). Než se útoku podařilo zamezit odstavením používaných domén, odkaz návštěvníka napadeného webu zavedl na nabídku podvodného „antivirového“ software.
Útočný kód se dostal i na tak prominentní místa jako je Apple iTunes – najdete ho na stránkách některých produktů. Nedostal se tam napadením iTunes, ale zvenčí, přes data získávána přes RSS a importovaná do produktových stránek. Útočný kód na iTunes je nefunkční – Apple příchozí RSS zpracovává způsobem, který zamezuje vykonání.
Aktuální vlna útoků je dokumentována websense v LizaMoon mass injection hits over 226,000 URLs (was 28,000) a pohledem do Google můžete snadno zjistit, kolik URL je již v indexu Google -(aktuálně 292 tisíc pro lizamoon.com variantu a 98 tisíc pro alisa-carter.com variantu). Problém se nevyhnul ani České republice – v indexu Google najdete napadený web StavebniStandardy.cz a filatelie-stoesk.cz.
Velmi pravděpodobně ale existují ještě další varianty umístění útočného skriptu – hledání na ur.php v Google nabízí 291 tisíc výsledku a další rozdílné domény – google-stats50.info, multi-stats.info, google-stat48,info, alexblane.com a řadu dalších.