Estas aquiContenido / Más de 300.000 sitios chinos comprometidos
Más de 300.000 sitios chinos comprometidos
Este tipo de juegos siempre acaban convertidos en armas de doble filo. Así, si hasta ahora eran sitios chinos los que infiltraban código malicioso de forma masiva en sitios occidentales, este fin de semana la ruleta ha girado al revés, y han sido más de 300.000 sitios de China, Taiwan, Hong Kong y Singapur los que han resultado afectados.
El denominador común de todos estos sitios es el uso del servidor IIS de Microsoft y su SQL Server...
Referencias:
Etiquetas
Hola a todos!
Me gustaria que alguien que sepa como funcionan estos ataques me los explicase en detalle; pienso que deben ser sitios con sql injection, que lo que se les mete en la db son trozos de codigo apuntando a un servidor ya controlado y haciendo que el visitante se infecte... pero me gustaria una explicacion mas profesional.
Mil gracias
Tienes un esquema excelente en el segundo enlace de la noticia.
Un webmaster comentaba en su foro:
"la web no está infectada, no hay virus en nuestro servidor ni en el código de las páginas, como expliqué al principio lo que hacen es meter un script en algunos campos de la base de datos y al mostrarse esos datos (los de usuarios, por eso las fichas) se ejecuta el script y se abre una página que contiene ejecutables con los virus."
Pues muy bien. Entonces, ¿cómo define este Webmaster el hecho de que aprovechando una vulnerabilidad de SQL Server o, lo que sería peor, una programación insegura que no verifica la corrección de los datos escritos en base de datos, los atacantes hayan conseguido insertar código malicioso en sus páginas?
Realmente en todo esto la terminología a veces se usa como un escudo, pero el hecho de que no haya un virus (programa que se autoreplica) instalado en el servidor no quiere decir que la web no esté infectado: de hecho lo está.
Hoy cualquiera puede crear una web o un foro usando herramientas stándares para ello, como wordpess, joomla, drupal ... etc. Hay foros de muchos temas, no sólo informáticos. El webmaster realmente no tiene por qué saber informática o haber programado él las herramientas que usa, tan sólo las usa y modifica en parte el aspecto externo y los gadget o funcionalidades del programa, y eso cuando lo hacen, ¿cuántos foros de exactamente el mismo aspecto no habéis visto?.
De ahí la vulnerabilidad que presentan, de ahí que usando el mismo exploit y google puedas infectar tantos miles de sitios. No hay un ataque personalizado tras estudiar tu web, sino ataques generalizados.
Respecto lo que dice ese webmaster, es cierto, no está infectado de virus, sino que sus páginas tienen una vulnerabilidad que ha sido explotada. De hecho, producido el ataque sabía solucionarlo, lo que no había conseguido (al menos la última vez que visite su foro no había ninguna anotación al respecto) era evitarlo. Evidentemente, eso es ya de informáticos.