Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

mandag 12. mai 2008

Zlob mass SQL-injections

Det har i den siste tiden vært flere "mass SQL injection"-angrep som utnytter sårbare webapplikasjoner (phpbb, mambo, osv). Og sist denne helga har vi sett at flere hundre tusen nettsteder har blitt kompromittert og fått lagt inn ondsinnet kode - og denne gangen er det tilsynelatende gjengen bak Zlob som står bak.

Kodesnutten som blir lagt inn på de kompromitterte nettstedene laster xprmn4u.info/f.js eller free.hostpinoy.info/f.js. Disse skriptene redirecter brukeren til hxxp://freedd.albhost.info/go.php?sid=1, som via flere redirects, til slutt forsøker å lure brukeren til å laste ned hxxp://codecmega.com/download/codecmega4254.exe (eller hxxp://codecmega.com/download/codecmega1000.dmg hvis man bruker Safari/Mac), ved å vise følgende nettside:



xprmn4u.info. 14400 IN A 217.199.217.9
freedd.albhost.info. 86400 IN A 209.51.196.252
free.hostpinoy.info. 86400 IN A 209.51.196.254
codecmega.com. 86400 IN A 64.28.184.188

AS | IP | CC | AS Name
34221 | 217.199.217.9 | RU | QL-AS JSC QUICKLINE Autonomous System
10297 | 209.51.196.252 | US | COLUMBUSNAP - The Columbus Network Access Point, Inc.
10297 | 209.51.196.254 | US | COLUMBUSNAP - The Columbus Network Access Point, Inc.
27595 | 64.28.184.188 | US | INTERCAGE - InterCage, Inc.

1 kommentar:

Jan Roger Wilkens sa...
Denne kommentaren har blitt fjernet av forfatteren.
 
>