Polen-China-Achse

Sonntag, 1. Juni 2008, 23:57 Uhr |  Autor:

“Nun auch deutsche Seiten von SQL-Massenhacks betroffen” (heise.de)

Laut dem heise-Artikel sind MS-Server und ASP-Scripte betroffen – ich sach jetzt nicht “Mit Linux und PHP wäre das nicht passiert.” ;O) Wenn man sorgfältig programmiert dann ist auch der IIS und ASP sicher.

Sehr peinlich finde ich das der Hersteller der Software für E-Government selber betroffen ist und es bisher nicht geschafft hat seine Server zu fixen. Andere WebSites haben zumindest den Dienst eingestellt und schreiben “Der Webauftritt von xyz wird überarbeitet.”

Bisher habe ich folgende Domains gefunden, von denen JavaScripte nachgeladen werden:
www.adw95.com, www.qiqigm.com, www.banner82.com, www.en-us18.com, www.libid53.com, www.locale48.com, www.rexec39.com, www.sysid72.com, www.logid83.com, www.nihao112.com, www.woai117.cn, www.dota11.cn, www.wow112.cn, www.killwow1.cn, www.117275.cn, www.qiqi111.cn, www.killpp.cn, www.wowgm2.cn, www.wowyeye.cn, ph.errtys.org, vip2.51.la, js.users.51.la
Zum Teil scheinen diese aber bereits abgeschaltet zu sein bzw. es pingen nur noch einzelne Subdomains: ph.errtys.org pingt aber errtys.org oder www.errtys.org pingen nicht.

IP-Adressen von gestern:

62.121.105.28 (Warschau / Polen)
www.en-us18.com
www.libid53.com
www.locale48.com
www.rexec39.com
www.sysid72.com

83.8.118.57 (Chodziez / Polen)
www.logid83.com

222.172.88.71 (Yichun / China)
www.nihao112.com
www.woai117.cn
www.dota11.cn

Seit heute wechseln die IP-Adressen, zum Teil alle paar Minuten. Aber ein Traceroute zeigt dann doch nach Polen, auch wenn die IP-Adresse angeblich in den USA liegt.

Erschreckend ist die sehr hohe Zahl der infizierten WebSites:
Ergebnisse 1 – 100 von ungefähr 509.000 für script src=http://www.adw95.com/b.js
Ergebnisse 1 – 100 von ungefähr 39.300 für script src=http://www.dota11.cn/m.js
Ergebnisse 1 – 100 von ungefähr 37.800 für script src=http://www.banner82.com/b.js
Ergebnisse 1 – 100 von ungefähr 25.000 für script src=http://www.wowyeye.cn/m.js
Ergebnisse 1 – 100 von ungefähr 22.100 für script src=http://www.wowgm2.cn/m.js
Ergebnisse 1 – 100 von ungefähr 14.900 für script src=http://www.117275.cn/g.js
Ergebnisse 1 – 100 von ungefähr 11.200 für script src=http://www.qiqi111.cn/m.js
Ergebnisse 1 – 100 von ungefähr 11.000 für script src=http://www.killpp.cn/m.js
Ergebnisse 1 – 100 von ungefähr 10.700 für script src=http://www.qiqigm.com/m.js
Ergebnisse 1 – 100 von ungefähr 4.660 für script src=http://www.killwow1.cn/g.js
Ergebnisse 1 – 100 von ungefähr 2.550 für script src=http://www.nihao112.com/m.js
Ergebnisse 1 – 100 von ungefähr 2.470 für script src=http://www.wow112.cn/m.js
Ergebnisse 1 – 44 von 44 für script src=http://www.locale48.com/b.js
Ergebnisse 1 – 26 von 26 für script src=http://www.sysid72.com/b.js
Ergebnisse 1 – 26 von 26 für script src=http://www.rexec39.com/b.js
Ergebnisse 1 – 23 von 23 für script src=http://www.libid53.com/b.js
Ergebnisse 1 – 23 von 23 für script src=http://www.en-us18.com/b.js

Tags »   

Trackback: Trackback-URL | Feed zum Beitrag: RSS 2.0
Thema: Sicherheit

Kommentare und Pings sind geschlossen.

2 Kommentare

  1. 1
    mein gott und meine welt » Blog Archive » Bauer-Milch.de im leeren Glanz (via Pingback)
    Uhr

    [...] ist diese Voraussetzung nicht so schlimm… könnte man denken. Aber in Anbetracht der SQL-Massenhacks, die in WebSites mit ASP JavaScripte einbinden, die wiederum Schädlinge nachladen, könnte [...]

  2. 2
    mein gott und meine welt » Blog Archive » Microsoft reagiert auf SQL-Injection (via Pingback)
    Uhr

    [...] Polen-China-Achse habe ich ja schon einmal das Thema SQL-Injection in IIS/ASP-Systemen aufgegriffen, das war am 1. [...]