Daily Archives: 1. Juni 2008

Polen-China-Achse

“Nun auch deutsche Seiten von SQL-Massenhacks betroffen” (heise.de)

Laut dem heise-Artikel sind MS-Server und ASP-Scripte betroffen – ich sach jetzt nicht “Mit Linux und PHP wäre das nicht passiert.” ;O) Wenn man sorgfältig programmiert dann ist auch der IIS und ASP sicher.

Sehr peinlich finde ich das der Hersteller der Software für E-Government selber betroffen ist und es bisher nicht geschafft hat seine Server zu fixen. Andere WebSites haben zumindest den Dienst eingestellt und schreiben “Der Webauftritt von xyz wird überarbeitet.”

Bisher habe ich folgende Domains gefunden, von denen JavaScripte nachgeladen werden:
www.adw95.com, www.qiqigm.com, www.banner82.com, www.en-us18.com, www.libid53.com, www.locale48.com, www.rexec39.com, www.sysid72.com, www.logid83.com, www.nihao112.com, www.woai117.cn, www.dota11.cn, www.wow112.cn, www.killwow1.cn, www.117275.cn, www.qiqi111.cn, www.killpp.cn, www.wowgm2.cn, www.wowyeye.cn, ph.errtys.org, vip2.51.la, js.users.51.la
Zum Teil scheinen diese aber bereits abgeschaltet zu sein bzw. es pingen nur noch einzelne Subdomains: ph.errtys.org pingt aber errtys.org oder www.errtys.org pingen nicht.


IP-Adressen von gestern:

62.121.105.28 (Warschau / Polen)
www.en-us18.com
www.libid53.com
www.locale48.com
www.rexec39.com
www.sysid72.com

83.8.118.57 (Chodziez / Polen)
www.logid83.com

222.172.88.71 (Yichun / China)
www.nihao112.com
www.woai117.cn
www.dota11.cn


Seit heute wechseln die IP-Adressen, zum Teil alle paar Minuten. Aber ein Traceroute zeigt dann doch nach Polen, auch wenn die IP-Adresse angeblich in den USA liegt.

Erschreckend ist die sehr hohe Zahl der infizierten WebSites:
Ergebnisse 1 – 100 von ungefähr 509.000 für script src=http://www.adw95.com/b.js
Ergebnisse 1 – 100 von ungefähr 39.300 für script src=http://www.dota11.cn/m.js
Ergebnisse 1 – 100 von ungefähr 37.800 für script src=http://www.banner82.com/b.js
Ergebnisse 1 – 100 von ungefähr 25.000 für script src=http://www.wowyeye.cn/m.js
Ergebnisse 1 – 100 von ungefähr 22.100 für script src=http://www.wowgm2.cn/m.js
Ergebnisse 1 – 100 von ungefähr 14.900 für script src=http://www.117275.cn/g.js
Ergebnisse 1 – 100 von ungefähr 11.200 für script src=http://www.qiqi111.cn/m.js
Ergebnisse 1 – 100 von ungefähr 11.000 für script src=http://www.killpp.cn/m.js
Ergebnisse 1 – 100 von ungefähr 10.700 für script src=http://www.qiqigm.com/m.js
Ergebnisse 1 – 100 von ungefähr 4.660 für script src=http://www.killwow1.cn/g.js
Ergebnisse 1 – 100 von ungefähr 2.550 für script src=http://www.nihao112.com/m.js
Ergebnisse 1 – 100 von ungefähr 2.470 für script src=http://www.wow112.cn/m.js
Ergebnisse 1 – 44 von 44 für script src=http://www.locale48.com/b.js
Ergebnisse 1 – 26 von 26 für script src=http://www.sysid72.com/b.js
Ergebnisse 1 – 26 von 26 für script src=http://www.rexec39.com/b.js
Ergebnisse 1 – 23 von 23 für script src=http://www.libid53.com/b.js
Ergebnisse 1 – 23 von 23 für script src=http://www.en-us18.com/b.js

Schäubles WebFuzzis ziehen die Notbremse

Die Schäuble-WebFuzzis hatten der WebSite, wolfgang-schaeuble.de, Typo3 verpaßt, dachten sich wohl “Seien wir mal modern.” – allerdings war es nicht die neueste Version und noch mit einem netten XSS-Bug in der Suchfunktion versehen.

Am 28. Mai meldete heise.de “Cross Site Scripting vereint Schäuble und Die Linke”.

XSS Version von wolfgang-schauble.de
(Quelle: heise.de, Klick aufs Bild führt zur Quelle)

Nach ein Paar Stunden hatten die WebFuzzis das XSS-Problem soweit behoben das nur noch der Text ausgegeben wurde, ohne den HTML/CSS-Code, was üblich ist, also keinen Fehler darstellt.


Gestern gabs schon wieder ein Problem “Website von Bundesinnenminister Schäuble gehackt” (heise.de).

gehackte Version von wolfgang-schauble.de
(Quelle: heise.de, Klick aufs Bild führt zur Quelle)

Diesmal haben sich die Schäuble-WebFuzzis erst gar nicht daran versucht das Problem zu beheben. Sie haben schnell eingesehen das Typo3 doch eher etwas für die großen Jungs ist und wieder die alte FrontPage hochgeladen, damit kennen sie sich etwas aus, da fühlen sie sich sicher – schauen wir mal wie lange. :O)

Aktuelle (alte) wolfgang-schauble.de

Was das wohl für WebFuzzis sind? Bestimmt die Kinder der Putzfrau…