Exploitation massive d'une faille ASP par les cybercriminels

Le par Dimitri T.  |  7 commentaire(s)
pandalabs (Small)

Les cybercriminels exploitent en ce moment une vulnérabilité affectant ASP pour compromettre les pages Web hébergées par des serveurs IIS.

pandalabs (Small)La société de sécurité informatique Panda Security vient de donner l'alerte. Les cybercriminels exploitent en ce moment une vulnérabilité affectant ASP ( Active Server Pages ), un langage de programmation créé par Microsoft et permettant de créer des applications Web dynamiques, pour compromettre des serveurs fonctionnant avec le logiciel IIS ( Internet Information Services ).

Les cybercriminels s'en servent en fait pour injecter du code SQL dans toutes les pages Web hébergées par le serveur IIS cible. Les visiteurs de ces pages sont alors redirigés vers un site spécialement conçu et permettant l'installation de logiciels malveillants sur leur ordinateur. Selon Panda Security, la vulnérabilité est exploitée de manière massive avec plusieurs centaines de milliers de pages Web qui auraient déjà été modifiées. La situation serait alarmante puisque rien n'indique qu'une page a été ou non victime de cette attaque.

Pour savoir si votre site Web a été victime de cette attaque, il suffit d'aller jeter un oeil dans le code source de chacune des pages. Vérifiez si la ligne " <script src=http://www.nihaorr1.com/1.js> " s'y trouve et supprimez-la le cas échéant.
  • Partager ce contenu :
Complément d'information

Vos commentaires

Trier par : date / pertinence
ReNo offline Hors ligne Vétéran avatar 2335 points
Le #224221
"Les cybercriminels exploitent en ce moment une vulnérabilité affectant ASP ( Active Server Pages ), un langage de programmation créé par Microsoft et permettant de créer des applications Web dynamiques, pour compromettre des serveurs fonctionnant avec le logiciel IIS" >Vous noterez l'importance de la virgule juste après "applications Web dynamiques", l'absence de cette dernière pourrait totalement changer le sens de la phrase
Gourmet offline Hors ligne Vénéré avatar 4713 points
Le #224241
Si les sites disposaient de procédure de mise à jour dignes de ce nom (*) ce genre de problème appartiendrait au passé.
Le facteur humain, toujours le facteur humain.

db

(*) Procédure en passant par un répertoire intermédiaire et un jobs qui surveille en permanence les checksum de chaque fichier et reprend l'original figurant dans ce répertouire intermédiaire si un quelconque changement non autorisé par la procédure apparaît.
Ducatman offline Hors ligne Héroïque icone 830 points
Le #224371
tous les navigateurs sont concernés ?
Snooop offline Hors ligne Héroïque avatar 773 points
Le #224481
Et hop, deux lignes de plus dans le fichier hosts...

127.0.0.1 www.nihaorr1.com
127.0.0.1 nihaorr1.com

Au cas où...
Jarode offline Hors ligne Vénéré avatar 2823 points
Le #224491
Euh
Faudrais savoir
"La situation serait alarmante puisque rien n'indique qu'une page a été ou non victime de cette attaque."
ou
"Pour savoir si votre site Web a été victime de cette attaque, il suffit d'aller"

Alors, on peut le savoir ou non?

Tiens continuons dans les incoherence
"Les cybercriminels s'en servent en fait pour injecter du code SQL dans toutes les pages Web hébergées par le serveur IIS cible"
Donc ca s'attaque a la SQL
Or la methode de desinfection du site donné
"l suffit d'aller jeter un oeil dans le code source de chacune des pages. Vérifiez si la ligne " <script src=http://www.nihaorr1.com/1.js>" s'y trouve et supprimez-la le cas échéant."
C'est marrant mais là, il s'agit du code source.
Depuis quand on edite un code source en tappant dans une SQL.

De deux chose l'une, soit l'auteur était bouré au moment de la redaction de la news. Soit il n'a rien compris a ce qu'il raconte.

La source n'étant pas donné, je ne fatiguerai pas aller regarder l'info orignel, pour rectifier les enormes erreur ecrite dans cette news bacler.
xzat offline Hors ligne Vétéran avatar 1349 points
Le #224591
Jarode>Mais si l'exploit consiste à remplacer les données d'une bd sachant que ces données sont affichés à l'utilisateur ...
Jarode offline Hors ligne Vénéré avatar 2823 points
Le #225421
xzat, oui mais ca n'empeche pas que c'est toujours pas dans le code source.

Texte toujours ecoherent
icone Suivre les commentaires
Poster un commentaire