新型自动化SQL注入攻击引发大规模网页挂马

发布日期：2008-06-04


综述：
======
2008年5月14日，绿盟科技客户服务中心400热线接到某网站客户的紧急求助电话，网站
页面遭到破坏，请求绿盟安全工程师现场应急。该网站遭遇网页篡改，正常网页内容被
替换为大量的</…]或</title…]，且持续发生“网页被篡改-手工恢复-再次被篡改-再
次恢复…”的现象。经过现场工程师分析，这次攻击同绿盟近期处理的多起应急响应事
件基本一致，均是由于网站遭受自动化SQL注入攻击的破坏而导致。

紧接着，来自网络世界（Network World）的报导，进入5月后，中国大陆、香港及台湾
地区有数千个网站遭遇新一轮 SQL注入攻击，引发大规模网站挂马等安全事件。在过去
的 4个月中，之前已有 3次大规模攻击，受害者包括某知名防病毒软件厂商网站、欧洲
某政府网站和某国际机构网站在内的多家网站。据Microsoft估算，感染页面数最多超
过10，000页面/天。

分析：
======
经过绿盟科技NSFocus安全小组分析，该轮攻击使用Google搜索引擎定位网页中包含的
动态ASP脚本，测试脚本是否存在SQL注入漏洞并确定注入点，最终试图遍历目标网站后
台SQL Server数据库的所有文本字段，插入指向恶意内容的链接。攻击的整个过程完全
自动化，一旦攻击得逞，这些自动插入的数据将严重破坏后台数据库所存储的数据，动
态脚本在处理数据库中的数据时可能出错，各级页面不再具有正常的观感。被攻击站点
也可能成为恶意软件的分发点，访问这些网站的网民可能遭受恶意代码的侵袭，用户的
系统被植入木马程序从而完全为攻击者控制。

攻击对象主要为运行IIS Web Server的ASP站点，其后台数据库使用微软SQL Server。
由于配置错误，网站底层SQL Server使能了最为危险的存储过程之一
“xp_cmdshell”，使得攻击者可以在Web服务器端执行操作系统命令。

解决方法：
==========
SQL注入的成因在于互联网网站开发人员在编码阶段未遵循安全代码开发要求，开发出
的动态网页Web应用程序对用户提交的请求参数未做充分检查过滤。真正彻底、有效地
解决SQL注入攻击，应该从事前预防（如遵循最小权限原则配置数据库服务器；使用Web
应用漏洞扫描工具来诊断Web应用程序脆弱性等）、事中缓解（检测、阻断攻击手段）
以及事后诊断（对SQL注入攻击造成的攻击结果进行监测）三个方面进行综合考虑。

绿盟冰之眼Web应用防火墙（简称ICEYE WAF）正是基于这种防范思路，提供针对SQL注
入攻击的安全解决方案。日前，通过在多家网站的使用反馈，ICEYE WAF成功应对此类
SQL注入攻击，获得用户的好评。

关于ICEYE WAF更多信息，参见http://www.nsfocus.com/1_solution/1_2_8.html。

声 明
==========

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技（NSFOCUS Co., Ltd.）是中国网络安全领域的领导企业，致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务，在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品，是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见： http://www.nsfocus.com

© 2024 绿盟科技