Tausende von Webseiten infiziert: Ziele scheinen ASP, IIS und MSSQL zu sein
Kurz nach dem Fund hat Google ungefähr 80 infizierte Seiten ausgeworfen. Später dann 1000 und bei der letzten Suche über 4000. Die Ziele scheinen Seiten mit ASP und Coldfusion zu sein und der Angriff via SQL-Einspeisung scheint auf allen Versionen von MSSQL zu funktionieren.
Die Spuren der Einspeisung führen zu gefälschten Adobe-Flash- oder Fake-AV-Seiten. Überprüft gegebenenfalls Eure Seiten, da die Untersuchung gerade in vollem Gange ist und lilupophilupop sich schnell auszubreiten scheint. Administratoren sollten lilupophilupop am besten komplett blockieren. Schaut in regelmäßigen Abständen auf SANS, weil die ihren Bericht aktualisieren und erweitern. Informiert andere Seitenbetreiber und Administratoren darüber. Selbst wenn man kein ASP, Coldfusion oder MSSQL einsetzt, kann ein Kotrollblick nicht schaden.