SQL-aanval treft 123.000 Nederlandse websites

02 januari 2012 - 09:47ActueelCloud & Infrastructuur
Laura Kempenaar
Laura Kempenaar

Sql-aanval Lilupophilupop die begin december 2011 werd ontdekt, heeft wereldwijd al 450.000 websites besmet. Volgens securitywebsite Internet Storm Center zijn er met 123.000 stuks vooral Nederlandse domeinnamen geïnfecteerd.

Er wordt op een internetpagina een link geplaatst die verwijst naar de site lilupophilupop.com. Vervolgens worden bezoekers met een nep-virusscanner geïnfecteerd. Op 12 december 2011 waren er nog maar veertienduizend Nederlandse sites getroffen, wat inhoudt dat het aantal besmettingen hier de afgelopen tijd explosief is gestegen.

Volgens Tweakers.net is er nog geen verklaring voor het grote aantal Nederlandse sites dat besmet is. De malware zou gedeeltelijk geautomatiseerd werken en dat kan erop wijzen dat er gericht aanvallen worden gedaan op Nederland. Bovendien geeft Internet Storm Center aan dat er waarschijnlijk een lange voorbereiding zit in deze Lilupophilupop-aanval.

    Whitepapers

    Computable.nl

    Slimme connectiviteit: de toekomst van bouwen

    Hoe stoom jij jouw organisatie in de bouw en installatie sector klaar voor de digitale toekomst?

    Computable.nl

    De weg van dataverzameling naar impact

    Iedere organisatie heeft data, maar niet iedereen weet hoe je het goed gebruikt. Hoe zet je waardevolle informatie om in actie?

    Computable.nl

    Well-Architected: slim bouwen en beheren in de cloud

    Een paper met concrete handvatten om cloud-architectuur naar een hoger niveau te tillen.

    Meer lezen

    3 reacties op “SQL-aanval treft 123.000 Nederlandse websites”

    1. “De malware zou gedeeltelijk geautomatiseerd werken en dat kan erop wijzen dat er gericht aanvallen worden gedaan op Nederland”

      Software die automatisch 🙂 werkt is speciaal gericht op Nederland??

    2. Software die automatisch 🙂 werkt is speciaal gericht op Nederland??

      ————————————————————————
      De malware zou gedeeltelijk geautomatiseerd werken en dat kan erop wijzen dat er gericht aanvallen worden gedaan op Nederland.

    3. Wat een vragen roept dit artikel op… Hoe werkt die SQL aanval dan in combinatie met malware? Ik vind dat raar, onder een “SQL (injectie?) aanval” verwacht ik een aanval op mijn database server, dan zou de malware bijvoorbeeld alleen maar werken als ik op de (productie) server zit te browsen wie doet dat nou? Of worden SQL clients aangevallen? Of worden keyboard loggers, network sniffers of identity cloaks geinstalleerd die gespecialiseerd zijn in het ondervangen van SQL credentials?

      Ik ben zelf maar het onderzoek gaan doen wat Computable heeft laten liggen. http://isc.sans.edu/diary.html?storyid=12127 bevat veel informatie.

      Het heeft weinig met malware te maken, alles met SQL injection. Is niks nieuws onder de zon, als je geen datavalidatie doet op input formulieren kan b.v. de waarde:
      “); drop database;
      al problemen oplossen in
      insert into table (field) value (”
      Dat is een oud probleem van slecht gecodeerde webpagina’s.

      De “injected SQL” werkt overigens alleen op MS SQL Server, handig om erbij te vermelden.

      Op bovengenoemde link staan duidelijke instructies hoe te herkennen of je gehackt bent en wat eraan te doen. Deze informatie, op zijn minst verwijzing daarnaa, mist toch wel in dit artikel Computable! En verder nogmaals: niks nieuws onder de zon, SQL injectie is al zo oud als dat er webformulieren zijn. En ik vind de term “installeert malware” in combinatie daarmee op zijn minst verwarrend.

      Happy new year, uw security specialist,

      Thijs Cobben

    Geef een reactie

    Footer