Tausende von Webseiten infiziert: Ziele scheinen ASP, IIS und MSSQL zu sein

3 Dezember 2011 Kein Kommentar Autor: Jürgen (jdo)

SANS Logo 150x150Uh, das sieht nicht gut aus. Die Jungs vom SANS Internet Storm Center berichten von einer digitalen Seuche, die sich gerade ausbreitet. Man habe etliche Berichte erhalten, dass sich der String „></title><script src=“hXXp://lilupophilupop.com/sl.php“></script> in vielen Webseiten befindet, beziehungsweise sich in diverse Tabellen einträgt.

Kurz nach dem Fund hat Google ungefähr 80 infizierte Seiten ausgeworfen. Später dann 1000 und bei der letzten Suche über 4000. Die Ziele scheinen Seiten mit ASP und Coldfusion zu sein und der Angriff via SQL-Einspeisung scheint auf allen Versionen von MSSQL zu funktionieren.

Die Spuren der Einspeisung führen zu gefälschten Adobe-Flash- oder Fake-AV-Seiten. Überprüft gegebenenfalls Eure Seiten, da die Untersuchung gerade in vollem Gange ist und lilupophilupop sich schnell auszubreiten scheint. Administratoren sollten lilupophilupop am besten komplett blockieren. Schaut in regelmäßigen Abständen auf SANS, weil die ihren Bericht aktualisieren und erweitern. Informiert andere Seitenbetreiber und Administratoren darüber. Selbst wenn man kein ASP, Coldfusion oder MSSQL einsetzt, kann ein Kotrollblick nicht schaden.

Du kannst gerne Deinen Senf zu diesem Beitrag geben: Hier geht es zu den Kommentaren




Schreiben macht durstig! Eine kleine Erfrischung kann daher nie schaden. Wem dieser freie Artikel gefallen hat, der darf mir gerne einen frisch gezapften Hopfen-Tee ausgeben (Paypal - der Spenden-Knopf
oder bitcoin - Adresse: 1NacVNwcLLePUVv8uSafu5Ykdwh8QyDfgK). Ich freue mich über jede noch so kleine Spende. Vielen Dank und Prost!
 Alle Kommentare als Feed abonnieren

Antworten