SANS: Массовая атака типа SQL-инъекция

SANS InstituteСпециалисты из SANS Institute Internet Storm Center обнаружили массовые хакерские атаки типа SQL-инъекция, в рамках которой организаторы инфицировали уже более миллиона страниц в интернете. Для размещения вредоносного кода на сайтах злоумышленники используют ряд автоматизированных инструментов и анализ, проводимый при помощи интернет-поисковиков.

Новая атака получила название Lilupophilupop. Ее первые признаки были обнаружены еще в начале декабря, а основной пик активности пришелся на первые дни января. Сейчас же ее жертвами являются свыше миллиона веб-страниц, тогда как в начале декабря SANS сообщал об обнаружении всего 80 зараженных страниц. Точное число зараженных сайтов пока установить невозможно, но очевидно, что это число достаточно велико и оно растет.

Пользователи, посещающие зараженные страницы переводятся на другие сайты и на сервер Lilupophilupop.com, где им предлагается загрузить вредоносное ПО под видом Adobe Flash Player или несуществующего антивируса. Текущие источники атаки варьируются, что позволяет говорить об автоматизированном и очень быстром распространении инфекции в сети. Чтобы понять масштабы проблемы, достаточно набрать в Google

  • <script src=http://lilupophilupop.com/'.


По словам экспертов, сами атакующие используют индексы поисковых систем для идентификации уязвимых сайтов. Авторы атаки ищут сайты, использующие распространенные системы управления контентом и другое ПО, содержащее известные уязвимости. Для конкретизации хакеры задают поиск с несколькими уточняющими параметрами.

В данной атаке используются несколько ботов, работающих по примерно десяти IP-адресам, с которых проводится чуть менее половины SQL-инъекций в отношении сайтов-жертв.


Обновлено (11.01.2012 03:07)