SQL инжекция инфектира хиляди уеб сайтове
Силвия Хаджикръстева
6.5.2008
Китайски хакери извършиха успешна атака с SQL инжекция на хиляди уебсайтове през последните две седмици, подбирайки жертвите си през търсещите машини.
Обикновено атаките с SQL инжекции са целенасочени, т.е. по един IP адрес в определено време. Атакуващите използват прости заявки на търсещите машини, за да намерят солиден списък от ASP или PHP сайтове, например, за да определят параметрите на инжекцията и след това да автоматизират атаките си. Те се възползват от функционалност в сървър за база данни Microsoft SQL, която позволява много SQL изрази, да бъдат изпратени в един HTTP израз. Други бази данни, като MySQL или Postgres не поддържат тази функционалност.
Атаката е сложна SQL инжекция, макар и с големината на един параграф, но е изцяло кодирана, което й позволява да се промъкне край системите за откриване на атаки. В част от нея се съдържат китайски букви и думата „здравей” на китайски – „ни хао” (n1 ha0).
SQL инжекцията експлоатира затворени цикли в базата данни, вкарвайки зловреден Java скрипт, навсякъде където успее, като в крайна сметка инфектира браузъри с малуер през уеб страница iFrame, която зарежда например троянци от различни хакерски сайтове.
Властите са поискали от китайските провайдъри да затворят тези сайтове, но това няма да попречи на използвания метод – атакуващите просто ще се преместят на други домейни.
Чистенето на инжекцията е твърде досадно. То трябва да се извърши или ръчно от притежателите на сайтовете, като претърсват базите си данни ред по ред, таблица по таблица, търсейки зловредния код и премахвайки го, или да презаредят базата данни от бекъп версия, ако имат такава. Освен това е трудно да се разбере дали един сайт е заразен – ако домейните, контролирани от хакер за момента не са активни, сайтът ви може да е притежаван, макар и да не е експлоатиран все още.