Ondata di attacchi SQL, colpiti migliaia di siti

Con uno degli attacchi pių imponenti dell'ultimo anno, alcuni cracker sono riusciti a infettare centinaia di migliaia di pagine web con uno script capace di redirigere gli utenti verso un server maligno

Roma - Sarebbero oltre mezzo milione le pagine web che, la scorsa settimana, sono state compromesse da ignoti cracker utilizzando attacchi di tipo SQL injection. A riportarlo è l'organizzazione di sicurezza SANS Institute, secondo la quale tra i webserver craccati compaiono siti municipali, governativi e commerciali, tra i quali quello delle Nazioni Unite.

Come spesso accade, la finalità di questi attacchi è stata quella di inoculare sui siti vulnerabili uno script capace di redirigere gli utenti verso un server maligno (ora non più attivo): qui si trovavano otto differenti exploit che tentavano di installare sui PC Windows un trojan ruba-password (toj_agent.KAQ). Le vulnerabilità prese di mira da questi exploit, apparentemente già tutte note, interessano diverse applicazioni per Windows, tra le quali AIM, RealPlayer e iTunes.

L'elevato numero di pagine compromesse suggerisce che i cracker si siano avvalsi di un tool in grado di automatizzare sia la ricerca dei siti vulnerabili che il cracking degli stessi. Questa è, del resto, la stessa tecnica impiegata in tutti i più recenti attacchi su larga scala, l'ultimo dei quali si è verificato lo scorso marzo e ha infettato oltre 10mila pagine web.
Su Shadowserver.org si afferma che gli attacchi di SQL injection sono stati rivolti a siti web su cui giravano le tecnologie ASP o ASP.NET. Microsoft ha però tenuto a precisare che gli aggressori non hanno sfruttato falle, vecchie o nuove, contenute nei propri software.

"Dalle nostre indagini è emerso che non sono state sfruttate vulnerabilità nuove o sconosciute", ha spiegato in questo post Bill Sisk, membro del Microsoft Security Response Center. "Questa ondata di attacchi - ha detto ancora Sisk - non è il risultato di una vulnerabilità in Information Services o in Microsoft SQL Server. Abbiamo anche determinato che questi attacchi non sono in alcun modo connessi al Microsoft Security Advisory 951306". In altre parole, Sisk afferma che i cracker non hanno sfruttato delle falle contenute in IIS, ASP o SQL Server, ma hanno approfittato di alcuni dei più comuni errori compiuti dagli amministratori nella configurazione dei siti web e dei database SQL.

Proprio negli scorsi giorni un noto esperto di sicurezza, David Litchfield, ha scoperto un nuovo modo per iniettare del codice SQL a propria scelta in un database Oracle.
41 Commenti alla Notizia Ondata di attacchi SQL, colpiti migliaia di siti
Ordina
  • Ma sono stati attaccati anche siti municipali italiani? si conosce qualche caso?
  • mi occupo dell'aggiornamento del sito assistenza.agenziadogane.it e al momento per quanto mi riguarda ha colpito solo un voce di menu che fa una semplice select su DB altri punti del sito che fanno la stessa identica cosa funzionano correttamente.
    non+autenticato
  • Cercate su Google questo:
    inurl:select inurl:where inurl:%20
    Ci credo che è facile fare SQL Injection!

    Trovato su thedailywtf.com
    non+autenticato
  • contenuto non disponibile
  • 2o risultato:

    http://www.comune.livorno.it/toponomastica/Strada_...


    no ma veramente...... come ca22o si fa????????
    non+autenticato
  • Basta controllare l'input per evitarlo, e tutti i linguaggi hanno una funzione unica per farlo.
    Così imparate ad assumere ragazzini che hanno imparato a programmare su Topolino per pagarli poco...
  • OleDbParameter di System.Data.OleDb, questo sconosciuto
    - Scritto da: biffuz
    > Basta controllare l'input per evitarlo, e tutti i
    > linguaggi hanno una funzione unica per
    > farlo.
    > Così imparate ad assumere ragazzini che hanno
    > imparato a programmare su Topolino per pagarli
    > poco...
    non+autenticato
  • Secondo me il bug si trova su apache non su iis anche perchè sono riusciti ad infettare con un javascript il file js del mio sito, che non poteva essere vulnerabile a nessun attacco di injection, sono riusciti proprio ad entrare nei server come root in quanto il mio server è server linux e successivamente a scaricarsi i file e odificarli per poi rifare l'upload, deve essere una falla MOLTO GRAVE questa, se riesconoa fare tutto questo liberamente...
    non+autenticato
  • Se il tuoi server è su Aruba il bug non è su Apache ma su come Aruba gestisce i permessi dei DB.

    Se invece non hai Aruba, allora c'è qualche fesseria (bella grossa) sullo script PHP che ti hanno attaccato, o in come il tuo server gestisce i permessi del DB.
    non+autenticato
  • il mio server è su aruba...perchè come gestisce aruba i permessi su db?
    non+autenticato
  • - Scritto da: systemax
    > perchè come gestisce aruba i permessi su db?

    A pene di segugio! Ovvio no?
    non+autenticato
  • Se non è cambiato nulla dall'ultima volta, l'utente che usi per interrogare il DB è lo stesso che ha diritto di vita e di morte sul DB stesso, il che è sbagliato.
    non+autenticato
  • - Scritto da: Miss K Lorina
    > Se non è cambiato nulla dall'ultima volta,
    > l'utente che usi per interrogare il DB è lo
    > stesso che ha diritto di vita e di morte sul DB
    > stesso, il che è
    > sbagliato.

    tanto per farla breve a chi capisce poco e niente (e non se ne accorge):

    alla prima sql injection sul database...

    auguriA bocca aperta
    non+autenticato
  • Ma dal mio database non risulta nulla, e poi come fanno ad intaccare un file che con il database non c'entra nulla nel mio caso un file javascript, l'sql injection crea danni sul database non sul filesystem, esiste un esempio in cui questo è dimostrato?
    non+autenticato
  • permessi mal settati a www-data e alle cartelle in cui tu puoi scrivere?
    permessi mal settati allo script php?
    è colpa degli amministratori di arubaOcchiolino
    non+autenticato
  • credo proprio di si a questo punto...perchè io faccio il data filtering...solo che aruba scarica sempre la colpa su software di terze parti anche se il mio sito non ne haA bocca aperta
    non+autenticato
  • scusate l'ignoranza ma sono un webmaster molto improvvisato. Hho un paio di siti con solo html e flash, e' possibile che anche in questi vi siano stati iniettati dei codice maligno - o malevolo como dir si voglia ?
    :D
  • contenuto non disponibile
  • Facile dare la colpa agli amministratori con il CLOSE !!

    Ciao
    non+autenticato
  • contenuto non disponibile
  • già -.-

    il mio programmatore deve creare una web app che restituisce solo dal database e non inserisce nulla

    semplice dirai, se il programmatore web non fa delle modifiche il database sarà al sicuro...

    NO!!!

    sql injection e mando una query che droppa tutto

    --->colpa dell'amministratore che ha dato all'utente collegato a quella webapp il potere di modificare i dati invece che fare solo select
    non+autenticato
  • contenuto non disponibile
  • - Scritto da: unaDuraLezione
    > - Scritto da: gino
    >
    > > sql injection e mando una query che droppa tutto
    >
    > > --->colpa dell'amministratore che ha dato
    > > all'utente collegato a quella webapp il potere
    > di
    > > modificare i dati invece che fare solo
    > > select
    >
    > In questo caso, la colpa è di entrambi
    > (programmatore e
    > amministratore).
    > La colpa del programmatore è aver permesso la SQL
    > injection (che si evita con una riga di
    > codice).
    > La colpa dell'amministratore è ovvia.
    > Dare la responsaiblità al solo amministratore è
    > una cazzata
    > galattica.
    > Anche perchè SQL injection può essere usato anche
    > per leggere dati importanti è l'amministratore
    > non può farci
    > nulla

    Hai perfettamente ragione. E' assolutamente insensato dare la colpa solo all'amministratore del DB. E' molto, ma MOLTO piu' grave la colpa di chi ha creato l'applicazione web. Una SQL injection non fa danni solo con un UPDATE o un DROP, e chi afferma il contrario evidentemente non sa neanche di cosa parla.
    non+autenticato
  • - Scritto da: gino
    > già -.-
    >
    > il mio programmatore deve creare una web app che
    > restituisce solo dal database e non inserisce
    > nulla
    >
    > semplice dirai, se il programmatore web non fa
    > delle modifiche il database sarà al
    > sicuro...
    >
    > NO!!!
    >
    > sql injection e mando una query che droppa tutto

    Ma cosa vai blaterando? Guarda che il programmatore che fa una web app appunto deve filtrare l'input!!! Arrabbiato Se il parametro passato come stringa e' ad esempio testo, se il programmatore fa un lavoro come si deve, non potremo mai dare un instruzione al DB di fare un drop!

    index.php?id=pippo%27%3Bdrop%20table%20tab--

    con un'applicazione web fatta come si deve la query risulta

    SELECT value FROM table WHERE id='pippo\'; DROP TABLE tab--'

    mentre con un'applicazione web fatta coi piedi, risulta

    SELECT value FROM table WHERE id='pippo'; DROP TABLE tab--'

    nel primo caso il DB andra' a cercare una riga della tabella table in cui il valore del campo id e' pippo'; DROP TABLE tab--, nel secondo caso andra' a cercare una riga della tabella table in cui il valore del campo id e' pippo e poi eseguira' DROP TABLE TAB.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)