Массовое SQL-внедрение скрипта LizaMoon

    Websense Security Labs информирует о массовом SQL injection, которое в момент написания этого текста обнаруживается на 252 000 сайтах (ещё вчера было 28 000).



    Как сообщает Websense Security Labs, в какой-то момент число заражённых сайтов превышало 380 000. Таким образом, это одна из самых массовых атак SQL injection за всё время.

    URL из вредоносного скрипта сейчас недоступен, но когда он работал, то редиректил юзеров на сайт hxxp://defender-uqko.in с известным фиктивным антивирусом Rogue AV.

    Домен lizamoon.com зарегистрирован четыре дня назад на явно фиктивные данные.

    Похожие публикации

    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 30

      +18
      Что интересно, почти все инфицированные сайты базируются на технологии ASP(X) и немного ColdFusion.
        +13
        угу, а днсы на CNMSN :)
        Человек явно любит микрософт.
        0
        Интересно, что всё ещё такие ошибки у кого-то возникают. Написано про SQL inject уже столько, что пора бы выучить это раз и навсегда.
        +2
        вашу ссылку на гугл Нод блокирует )
          +1
          И Аваст кричит, что вирус.

          Напрашивается вопрос: а как в результатах поиска гугла появляется вредоносный код?..
            +2
            Антивирус видит ur.php в урле и паникует.

            Ваш К.О.
              0
              Без перехода к указанному файлу ur.php, то бишь без знания антивирусом его содержимого? Я же к самому ur.php не обращаюсь, насколько я понимаю. Обращаюсь к индексу гугла же?
                +2
                Окей, тогда антивирус видит в сырце странице следущий код:
                script src=http://lizamoon.com/ur.php

                Ваш К.О.
                  0
                  Ну вот, сломал Аваст, он перестал кричать на страницу гугла.

                  В любом случае, вот в вашем же сообщении тот же код, и ничего?
                    +2
                    В сообщении это текст, а не код.
                      0
                      Просто хочу разобраться, как так происходит.

                      Сообщение абы откуда не возьмется, это ведь тоже код:
                      <div class="entry-content-only">
                      					    Окей, тогда антивирус видит в сырце странице следущий код:
                      <code>script src=http://lizamoon.com/ur.php</code>
                      
                      Ваш К.О.
                      					</div>


                      Во-вторых, в гугле же, насколько я понимаю, выводятся те же сообщения, только из индекса. Никто к этим файлам не обращается, браузер обращается к странице результатов? Браузер должен сработать на обращение к проблемному файлу, а не на его упоминание, так ведь? Или я чего не понимаю?
                      0
                      В выдаче гугла это тоже текст, а не код.
          0
          About 602,000 results (0.11 seconds)
            +3
            А на вид xss.
              +1
              Какая разница что инжектить через sql иньекцию?
              +1
              Вот тут побольше информации:
              ddanchev.blogspot.com/2011/03/dissecting-massive-sql-injection-attack.html
                +3
                Объясните плиз, почему SQL-Injection? Я всегда считал что это XSS…
                  0
                  Таки да. Тоже непонятно, с чего здесь SQL инъекция. При SQL инъекции можно провести XSS, но она не может быть проиндексирована в ПС, если ее явно не опубликовали.
                    +1
                    потому что уязвимость, с помощью которой скрипт попал в базу, это sql инъекция.
                    +4
                    Тема не раскрыта. Дыра в чем?
                    +2
                    SQL-инекция в том, что внесли этот XSS напрямую в базу, наверно, в обход защит, если таковые имелись.
                    А вот про XSS — это уже другая тема…
                      0
                      Лучше б рассказали, как они sql-инъекцию туда присунули
                        0
                        Наверно, через какую-то дыру в софте на сервере. Судя по первым комментариям этого топика.
                        +3
                        > Домен lizamoon.com зарегистрирован четыре дня назад на явно фиктивные данные.
                        > [тут идёт какая-то сраная картинка]

                        И вот объясните мне, зачем несколько строк обычного текста (plain text) вставлять в виде картинки? Что помешало текст вставить просто в виде текста?

                        В следующий раз, пожалуйста, отпринтскринте экран с этим текстом (обязательно весь экран целиком!), сохраните эту картинку через Photoshop, вставьте эту картинку в MS Word, сохраните в виде DOC-файла, заархивируйте этот файл в RAR, залейте его на какой-нибудь поганый файлхостинг и вставьте в статью ссылку на эту файлопомойку.
                        Мы же айтишники, мы очень любим, когда несколько строчек обычного текста нам передают именно в таком виде.
                          –3
                          Адекват?

                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                        Самое читаемое