Cambios en RouterOS 6.43: API Class con passwords en texto plano

Para todos los que estan usando las librerías de PHP de Denis Basta (como yo), luego de actualizar tu RouterOS a la version 6.43 «en adelante» van a tener el inconveniente de que la libreria deja de funcionar (de conectar mas bien). Esto se debe a que el Team de Mikrotik Modifico la manera en que RouterOS internamente almacena las contraseñas, ya que según explican en su foro ellos comparan al viejo Telnet inseguro que usa contraseñas en texto plano con el API inseguro, y el SHH con el API HTTPs. Esto genera un poco de controversia entre los que usan el API sin HTTPs ya que lo bueno era que al menos las contraseñas viajaban encriptadas.

A raíz de las ultimas vulnerabilidades y tantos ataques dirigidos a dispositivos con Mikrotik, han tenido que hacer muchos cambios que nos obliga a tener que ponernos las pilas e instalar un certificado en cada router para no ser víctimas de los ataques de diccionario (con MKBrutus u otros) que atacan el puerto 8728 (API inseguro). Seria muy importante tener también HTTPs en el dominio donde tengamos corriendo la libreria.

Si se fijan en el manual explican la diferencia entre lo que seria el antes y el después de la version 6.43. Incluso aclaran que en la version 6.45.1 ya se toma como obsoleto.

Por suerte hay un colega que edito la libreria de Denis Basta para que intente conectar primero de forma segura, si no tiene exito lo hace de manera plana. A editar nuestro codigo.!. Si se fijan en la linea 109 y 116 estan las 2 formas de loggeo.

Saludos!!!

____________________
Primero en tech-nico.com/blog

RouterOS IPv6 Vulnerable {todas las versiones}

Sin tan solo tenes IPv6 activado y no lo estas usando, sos vulnerable a un pseudo ataque por una vulnerabilidad que esta en el Kernel de RouterOS y al parecer (Segun Normis), al ser un kernel tan viejo es muy dificil parchearlo.

Problemas en el paraíso

Hay publicaciones oficiales de un experto en seguridad que dice haber notificado estas vulnerabilidades hace un año atras, con lo cual en los últimos dias se ha generado cierta tension en la comunidad de Mikrotik que se lee claramente en algunos hilos del foro.

Normis, quien esta en el team técnico de RouterOS dice que solo le enviaron un reporte genérico y un video, pero no esta muy claro y que no los ayuda demasiado a resolver los problemas. También dice que no hay 1 solo problema, son multiples y que los resolvieron en su mayoria, pero solicita a los que puedan reproducir la vulnerabilidad, envíen email al soporte describiendo la metodología usada, para poder incluir el fix antes de la version beta 22.

NORMIS responde:

We fixed the crashes that were reported to us. You said, we have not fixed «The CVE». I don’t know what you will publish in the CVE. You have only provided a video that doesn’t help at all. If you can reproduce an issue that we can’t reproduce, please email support and describe the method you used now, after beta 22.

NORMIS responde:

No. He did not send proof of concept for all issues, just a generic report about a crash. When he now said that CVE number such and such is not fixed, It was not clear, since we don’t know what he will publish in that CVE. There is not a single issue, there are multiple issues, we fixed most, now he has stumbled upon another (memory leak in some other condition). We are fixing the others as well.

Segun explica Maxi la vulnerabilidad se produce por un paquete IPv6 mal formado que provoca que el router genere un pico de memoria y se reinicie, y forwardeando este paquete genera un efecto en cadena increíble reiniciando todos los routers que se encuentren bajo ese mismo routeo IPv6.

Soluciones parciales:

Las soluciones hasta el momento, son parciales, hasta que salga el proximo beta. La solución para los que no estan usando IPv6 es simplemente desactivar el paquete y reiniciar el router.

Y la solución parcial para el que si esta utilizando IPv6 (como es mi caso), es agregar unas reglas en el firewall que segun pruebas de algunos participantes del foro están funcionando bien.

Until we release the next beta with memory exhaustion fix, this firewall config should stop any attack even with small amount of RAM:


/ipv6 firewall filter

add action=drop chain=forward connection-mark=drop connection-state=new

/ipv6 firewall mangle

add action=accept chain=prerouting connection-state=new dst-address=\ 2001:db8:3::/64 limit=2,5:packet

add action=mark-connection chain=prerouting connection-state=new dst-address=\ 2001:db8:3::/64 new-connection-mark=drop passthrough=yes

Reemplazar 2001:db8:3::/64 con el bloque IPv6 entregado por tu RIR

Update Beta

El sabado mientras yo redactaba este post, Mikrotik lanzo un beta con algunas correcciones:

What’s new in 6.45beta23 (2019-Apr-01 05:51):

MAJOR CHANGES IN v6.45:
———————-
!) ipv6 – fixed soft lockup when forwarding IPv6 packets;
!) ipv6 – fixed soft lockup when processing large IPv6 Neighbor table;

———————- 

Changes in this release:

*) ipsec – properly drop already established tunnel when address change detected;
*) ipv6 – adjust IPv6 route cache max size based on total RAM memory;
*) smb – fixed possible buffer overflow;

Saludos y a cuidar esos routers!!.

Tech-nico!!

Nueva version Mikrotik v6.0 rc08

Mikrotik ha lanzado su nueva version beta con muchas correcciones y novedades.
Hice la migracion de la version 5.x a la v6.0 y realmente es muy notable lo bien que funciona.

Entre los cambios mas importantes:

*) ppp,pppoe,pptp,l2tp,sstp – solo 2 mangles «mss change» para todas los tuneles ppp; antes se creaba automáticamente 2 por cada tunel conectado y por ejemplo en mi caso, con 500 tuneles conectados tenia 1000 mangles dinámicos, algo que seguro consumía recursos.

*) Wireless: se arreglaron problemas de velocidad en encriptacion AES.

*) Webfig: Se comprimieron todos los archivos y recursos html para acelerar la carga al abrir la pagina de webfig. (de hecho, si se fijan en las graficas, el RouterOS ocupa menos que en las versiones anteriores)

*) snmp – provide POE info;

*) Las interfaces son eliminadas mucho mas rápido  (cuando había muchos tuneles ppp se ponía muy lento eliminar una interface).

*) fix queue simple en el matcheo de interface, cuando tiene la encapsulacion de algún tunel, podía tener doble conteo de paquetes.

*) ip/ipv6 firewall tiene ahora todas como matcheo de interfaces, todas las ether, todas las wireless, todas las vlan, y todos los tuneles ppp.

*) Queue Limits podía ser inexacto para grandes limites (100M o mas);

*) Se agrego soporte inicial de OpenFlow;

Realmente son todas cosas muy buenas. Anoche hice la migracion de la version 5.2 a las 5.23, (como version final de la serie 5). Y luego salte a la version rc8 de la serie 6. Lo unico que tuve que modificar fue: en queue tree el global-total por global. El resto levanto perfecto!!! Es muy notable ver en las graficas que consume mucho menos recursos.

Hoy por sorpresa, veo que en el sitio de www.mikrotik.com.ar/download no esta mas la version rc8. Tengo que decir que me asuste!!!.. pero luego lei a Normis (del foro oficial) decir que la sacaron de linea por un problema de certificados, pero para los que no usamos certificados no corremos ningun tipo de peligro.

Normis: RC8 has a critical issue with Certificates. We temporarily pulled it off the website. If you don’t use certificates, you can keep using RC8

Mientras tanto para los que quieran corregir este inconveniente pueden utilizar un pre-release rc9 con la corrección de los certificados, o bien esperar a que salga el fix oficial.

Saludos.
___________
Nicolas tech-nico.com

Como detectar BOTNET Torpig en una Red desde Mikrotik

Torpig o también conocido como Sinowal o Anserin es un tipo de botnet (variedad de troyano que pueden afectar a los equipos que utilizan Microsoft Windows). Torpig evita aplicaciones anti-virus a través del uso de rootkits y busca en el sistema infectado para robar credenciales, las cuentas y contraseñas de home banking, así como potencialmente permite a un atacante el acceso total al equipo. También es supuestamente capaz de modificar los datos en la computadora, e infectar el sector MBR.

Entendiendo como bloquearlo mediante Mikrotik

Lo que haremos a continuación es loggear (crear una lista dinámica automática) con la IP de origen (del cliente infectado) de todo trafico TCP en cualquier puerto con destino 91.19.0.0/16 y 91.20.0.0/16.

/ip firewall filter
add action=add-src-to-address-list address-list=MebRootVictim address-list-timeout=1d chain=forward comment=\
    "Detectamos clientes comprometidos con Torpig" disabled=no dst-address-list=MebRoot

NOTA: Se da por hecho que cualquier trafico saliente que apunte a estas 2 redes «91.19.0.0/16 y 91.20.0.0/16″, proviene de un cliente comprometido.

Luego eliminamos todo el trafico con destino a estas redes en el input, forward y output.

add action=drop chain=forward disabled=no dst-address-list=MebRoot
add action=drop chain=input disabled=no dst-address-list=MebRoot
add action=drop chain=output disabled=no dst-address-list=MebRoot

También eliminamos todo el trafico del cliente infectado «distinto al puerto 80 TCP» y «distinto al puerto 53 UDP». Esto deja sin navegación al cliente y solo le permite DNS y HTTP. Entonces queda el cliente filtrado (sin servicio) y lo único que puede ver es la pagina que dice que su equipo esta comprometido y necesita llamar a un técnico.

add action=drop chain=forward disabled=no dst-port=110,25,995,465,1863,20,21,22,23 protocol=tcp src-address-list=MebRootVictim
add action=drop chain=forward disabled=no dst-port=!53 protocol=udp src-address-list=MebRootVictim

En resumen nos quedaria asi:

/ip firewall filter
add action=add-src-to-address-list address-list=MebRootVictim address-list-timeout=1d chain=forward comment=\
    "Drop Mebroot y Torpig y logueo el cliente de origen." disabled=no dst-address-list=MebRoot
add action=drop chain=forward disabled=no dst-address-list=MebRoot
add action=drop chain=input disabled=no dst-address-list=MebRoot
add action=drop chain=output disabled=no dst-address-list=MebRoot
add action=drop chain=forward disabled=no dst-port=!80 protocol=tcp src-address-list=MebRootVictim
add action=drop chain=forward disabled=no dst-port=!53 protocol=udp src-address-list=MebRootVictim

Agregamos las redes de destino a las que apunta el virus:

/ip firewall address-list
add address=91.19.0.0/16 comment=BOTNET disabled=no list=MebRoot
add address=91.20.0.0/16 comment=BOTNET disabled=no list=MebRoot

En la parte de NAT hacemos el direccionamiento a la pagina de error. (en caso de tenerla). Es una buena manera de que el cliente bloqueado se de cuenta que tiene un virus.

add action=dst-nat chain=dstnat comment="REDIRECT VIRUS TORPIG" disabled=no dst-port=80 protocol=tcp \
    src-address-list=MebRootVictim to-addresses=###IP_TU_APACHE### to-ports=#83#

Reemplazamos ###IP_TU_APACHE### por la IP correspondiente a tu linux. Por ejemplo, pueden probar con la de google: 173.194.42.50 y puerto en este caso reemplazamos #83# por 80. En mi caso tengo en el puerto 81 el cartel del virus confiker y en el 83 el mensaje del virus Torpig.

Eso es todo. Espero que les sirva de ayuda como a mi.
Esta es mi versión modificada de la que aparece en el Wiki oficial de Mikrotik

________________________
Nicolas tech-nico.com

Limpiemos internet entre todos: Proyecto bogon server

Les había prometido escribir sobre el proyecto bogon que esta dando excelentes resultados para todos los que administramos redes o pertenecen a WISP. El proyecto es “totalmente gratuito” para los que se sumen y no requiere de recursos de hardware ni licencias especiales. Solo un Mikrotik ( en mi caso ) y algunas configuraciones de BGP. (Aquí solo voy a contarles algunos rasgos generales del proyecto para que mas o menos entiendan como funciona y de que se trata). Para mas detalles pueden acceder a Capaocho.net que hay un how to muy bien explicadito.

En ISPARG (Foro hispano sobre Mikrotik moderado por Maxi Dobladez) fue donde di conocimientos a este proyecto que Ariel Weher y Pablo Lucchetti embarcaron. Mas abajo un reportaje con Ariel nos cuenta como fue que iniciaron.

El «Proyecto Bogon Server» consiste en la configuración de nuestros Servidores*, mediante BGP, para conseguir finalmente el filtro de trafico.

*Los servidores que entran en el proyecto pueden ser:

  • Cisco IOS.
  • Mikrotik RouterOS.
  • GNU/Linux Zebra/Quagga.
  • GNU/Linux + IPTables.
  • BSD/Solaris/Otro UNIX.
  • Vyatta.
  • Huawei OS.
  • Juniper JunOS.
  • Force 10.
  • Otros.

Definiendo Bogon: En términos muy amigables seria todo aquel trafico proveniente de Internet o originado desde nuestros propios clientes hacia intente. Este trafico «basura» se origina en la mayoría de los casos desde rangos de IP que no fueron asignados o delegados por ningún organismo de Registro Regional de Internet (RIR’s). Las RIR’s se encargan de administrar / asignar los rangos IP o pools de IP para todas las empresas u organismos de modo que no hayan numeraciones repetidas.

¿Por qué es importante filtrar los Bogons?

Según el conocimiento popular, se sabe que si se usa la conexión de un ISP para realizar tareas malintencionadas tales como hacer SPAM, escanear puertos, hacer ataques de denegación de servicio, etc., las autoridades pueden identificarme porque saben concretamente que esa IP desde donde realicé el ataque pertenece a un único ISP (o sistema autónomo).Entonces podrían rastrearme obligando al ISP a dar los datos del cliente que tenía esa IP en el momento del ataque, generalmente mediante acciones legales.

Ahora bien, como se sabe que los rangos IP publicados en el BOGON aún no son de nadie, contando con la infraestructura necesaria pueden adueñarse temporalmente de un rango libre, realizar el ataque y luego liberarlo, haciendo más difícil el rastreo (aunque no imposible).

Esto es debido a la negligencia de los mayoristas que no se fijan en las redes que publican sus clientes, pero eso es una cuestión más avanzada de BGP que por ahora no nos interesa.

Actualmente debemos saber que mientras más empresas dispongamos de filtros de Bogon, más dificil va a ser enviar basura a estos agresores que ganan millones a cuesta de nuestros servicios.

La práctica de filtrado trae como consecuencia en que vamos a disminuír la cantidad de ancho de banda gastado en “basura”, vamos a entregar un enlace a internet más “limpio” a nuestros abonados y vamos a asegurar que nuestro servicio no cause molestias al resto de internet.

Actualizacion automatica de listas BOGON:

Team Cymu es una organización sin fines de lucro encargada de enviar las listas actualizadas de bogons.
El problema es que para hacer contacto directo con ellos e incluso lograr las configuraciones se necesita no solo hablar ingles sino además cumplir con varios requisitos. Al parecer con Mikrotik se terminan las complicaciones.

Reportaje a Ariel Weher:

tech-nico: ¿Hace cuanto tiempo comenzaron con el proyecto?.

Ariel Weher:
Allá por mayo de 2008 dicte un mini cursito de BGP en el curso avanzado de mikrotik y les prometí que iba a pasarles alguna configuración de BGP que sirva para algo útil.

El Team Cymru viene con este proyecto Bogons desde hace rato, el tema es que en el momento del inicio del proyecto los requerimientos para que te conectes con ellos eran medios elevados; y yo vi que con Mikrotik era posible hacerlo bastante fácil, entonces nos pareció mas fácil conectarnos nosotros con todos nuestros equipos al cymru y desde ahí redistribuir a todos los pequeños ISP que usan mikrotik y que ellos lidien directamente con nosotros.

Yo particularmente hace varios años que estoy tratando de generar algún tipo de concientización entre los ISP, porque hoy nadie le da bola a la seguridad y a no tirar basura hacia Internet. Este proyecto Bogon, digamos que era el pie de entrada para después profundizar con otros temas mas complejos y eficaces.

tech-nico:
Esto debe ocupar mucho de tu valioso tiempo y ustedes lo hacen con la mejor onda y free. ¿No ven esto a futuro como un negocio?.

Ariel Weher:
Llevó bastante tiempo sobre todo la etapa de pruebas.
No, el negocio es que a la larga, cuando todos se sumen a mi me va a llegar menos basura. Por ende, el mega de Internet (que es caro) va a ser un mega mas limpio, lo que implica multiplexarlo mas y al fin de cuentas es mas dinero.

¿Alguna duda?

Si, “Es Gratuito!!!” podes aportar muchísimo:

  • No solo limpiar tu trafico basura, sino también el de todos nosotros. Una vez en funcionamiento, recibirás de forma automática la lista de Bogons y dependiendo del Sistema Operativo que uses, se vera como eliminar el trafico en tu caso. ( En el caso del Mikrotik RouterOS, los bogons tienen asignado un gateway falso entonces routean por dicho gateway y mueren).
  • También se puede participar como colaborador en el proyecto brindando acceso a tus routers para que el resto acceda como vos lo haces con ellos.

Me quiero sumar al proyecto, ¿cuales son los pasos a seguir?

1) Ingresamos a capaocho.net

2) En la derecha buscamos “Súmate Ya”

3) Llegamos al formulario de adhesión. Solo completamos todos los datos que nos pide.
4) Esperamos!. Ariel o Pablo se pondrán en contacto para pasarte las configuraciones.

Espero que todos tomemos conciencia de lo importante que seria si todos tenemos nuestro ancho de banda correctamente filtrado y limpio. 🙂 Vamos!! Ayudemos!!!

_____________________

Nicolás
tech-nico.com/blog

Atacaron forosdelweb.com y maestrosdelweb.com

Cvander(Christian Van Der Henst): creador de estos renombrados sitios webs fue victima de un ataque en sus correos. (Muchos comentan que se trataria de alguien muy cercano a su entorno).

forosdelweb.com y maestrosdelweb.com (los foros hispanos con mas trayectoria), quedaron desde ayer fuera de linea, «en mantenimiento». Hoy el sitio muestra un banner publicitario hacia otro sitio web (¿del atacante?).

Robo de identidad:
Primero accedieron a su cuenta de correo, y desde allí comenzaron a acceder en cascada a todo lo que encontraron en su camino: Hosting godaddy, Facebook, Twitter de cvander. Posteriormente consiguieron acceso a su gmail.

El soporte técnico del Hosting godaddy.com se rehusó a ayudarlo. (Como si estarían involucrados en algo).

Para los que quieran dar una mano, tan solo enviando un mail o llenando un formulario, son solo 5 minutos para colaborar con alguien que quizás podrías haber sido vos. Voy a hacer hincapié en lo mismo que pide cristalab.com, que me parece genial.

  1. Dejarle claro acá a la gente de GoDaddy que deben devolver los dominios a Christian.
  2. Mandar un correo a la gente de GoDaddy pidiendo el retorno del dominio.
  3. Hacer ruido de esto.

Recuerda siempre:
1)  En proyectos grandes nunca usar hostings con acceso por panel de control publico.
2)  Nunca uses las mismas contraseñas en ningun lado.
3)  No agrupes todas tus contraseñas en 1 sola cuenta de correo.

_______________
Nicolas: Tech-nico.com

Solucion: ASProx Cleaner

Algo que note es que algunos antivirus, al menos es el caso de AVG 8 en IE7, lo detecta como Troyano cuando ingresas al sitio infectado. Pero en otros casos no sucede. Por lo que, al ingresar al sitio, se infecta la PC, y luego esa PC infecta otros sitios? .. sinceramente es muy malefico!.

Para los que nos afecto el virus: aqui va la solucion;

Paso 1) usar una PC no infectada.

Paso 2) revisar el codigo ASP o ASP.net de nuestra Aplicación y no dejar pasar ninguna Inyeccion SQL. Validar todas las variables GET y POST por ejemplo, si es numerico usar funciones como isNumeric(Var) y si es texto usar Expresiones regulares para validarlas. En mi caso, si las variables son alteradas redirecciona al index. O pueden buscar algun tool para escanear y ver si hay vulnerabilidades como por ejemplo: Microsoft Source Code Analizer for SQL Injection que es gratuito o de pago podria ser Acunetix Web Vulnerability Scanner, que es excelente.

Cuando estemos seguros que nuestro sitio dejo de ser un colador 🙂 pasamos al ..
Paso 3)

Ejecutar este Transact SQL en el Enterprise Manager. ( con nuestra base de datos seleccionada ).

' http://www.admintalk.org
' 2008-07-12
SET NOCOUNT ON
DECLARE @SCRIPT VARCHAR(1024)
DECLARE @T VARCHAR(255)
DECLARE @C VARCHAR(255)
DECLARE Table_Cursor CURSOR FOR
SELECT [A].[Name], [B].[Name]
FROM sysobjects AS [A], syscolumns AS [B]
WHERE [A].[ID] = [B].[ID] AND
[A].[XType] = 'U' /* Table (User-Defined) */ AND
([B].[XType] = 99 /* NTEXT */ OR
[B].[XType] = 35 /* TEXT */ OR
[B].[XType] = 231 /* SYSNAME */ OR
[B].[XType] = 167 /* VARCHAR */)
OPEN Table_Cursor
FETCH NEXT FROM Table_Cursor INTO @T,@C
WHILE (@@FETCH_STATUS = 0)
BEGIN
print 'Updating [' + @T + '].[' + @C + ']…'
exec('update ['+@T+'] set ['+@C+'] = substring(['+@C+'], 0, charindex(''<script'',['+@C+']))
where ['+@C+'] like ''%<script%''')
Print 'Done'
Print ''
FETCH NEXT FROM Table_Cursor INTO @T, @C
END
CLOSE Table_Cursor
DEALLOCATE Table_Cursor
Print 'Clean-up Complete.'

Paso 4) Cruzar los dedos.

Paso 5) Limpiamos nuestro sitio pero para el cache de google sigue Infectado!. Entonces tenemos que ejecutar la herramienta para webmasters y Solicitar una Revision, el nuevo Scan de google puede demorar unos dias hasta que chequea y vuelve a la normalidad.

Espero que les sirva tanto como a mi.!

Ataque a paginas ASP y SQL SERVER con Trojan AspRox

Ataque de Cadena ASCII (Encoded/Binary) Automatica de SQL Injection o en ingles ASCII Encoded/Binary String Automated SQL Injection Attack.

Descripcion del Ataque:
Recientemente, nos venimos cruzando con un tipo de SQL Injection muy particular e interesante, que, hasta ahora puede ser muy dificil de limpiar, incluso hasta con el mas robusto backup de base de datos o esquema de recuperacion. Este ataque masivo es conducido con la ayuda de un robot de internet –tambien conocido como «malbot» y «botnet» que tienen perspectivas de atacar diariamente. Esto es como si cada uno de estos «Robots» disparan una serie de injecciones SQL de forma continua y cotidiana hasta que los resultados del malefico script son sensados en las paginas webs atacadas como posibles indicadores de vulnerabilidad.
(De hecho, cuando google escanea nuestro sitio para indexar contenidos, detecta que la web esta infectada, o interpreta que esta distribuyendo software malintencionado). Firefox esta usando dicho cache de paginas malintencionadas de google, y muestra la siguiente pantalla:

Firefox ante una pagina Infectada con ASProx

Detras del botnet, este ataque, llamado ASProx, fue previamente asociado con ataques Pishing, y ahora esta indirectamente distribuyendo Malware a traves de estos sitios webs que son vulnerables al SQL injection. Los atacantes tienen diseñado el Asprox para reproducirse con la ayuda del Buscador Google, una busqueda inicial de paginas webs que utilizan tecnologias ASP (.asp), ASP.net (.aspx), y PHP (.php).

El ASProx botnet tambien utiliza un DNS Fast Fluxing como tecnica para ocultar la entrega real del malware, detras de una red cambiante de hosts comprometidos que actuan como apoderados. La infraestructura del botnet crece constantemente. No hay nada nuevo en la forma en que el siguiente T-SQL se inyecta. Sin embargo, el carácter genérico del script es algo interesante para ver.

Las siguientes 3 variantes estan siendo injectadas a traves de HTTP GET:

‘;DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(0x44004500 … 06F007200%20AS%20NVARCHAR(4000));EXEC(@S);–

;DECLARE%20@S%20VARCHAR(4000);SET%20@S=CAST(0x4445434C … 736F7220%20AS%20VARCHAR(4000));EXEC(@S);–

‘;DECLARE%20@S%20CHAR(4000);SET%20@S=CAST(0x4445434C … 72736F72%20AS%20CHAR(4000));EXEC(@S);

En resumen; lo que hace es añadir ciegamente el script al valor actual de cualquier columna de la base de datos; o en otra de sus versiones primero verifica si la entrada actual ya no ha sido infectada, evitando la repeticion excesiva del script. Ademas, el script T-SQL( transact SQL), no solo Inyecta codigo Javascript en la base de datos sino que tambien agrega la etiqueta de declaracion de comentarios de HTML «<!–» al final del contenido del registro infectado para que intencionalmente se oculte e impida que el HTML sea cargado.

Dentro del Javascript que inyecta el en la base de datos, hay un include JS que puede figurar en cada ataque con un nombre de dominios distinto: ejemplo: (hay decenas de ellos)

http://www.64asp.ru/script.js
http://www.sel92.ru/script.js 
http://www.22net.ru/script.js 
http://www.51com.ru/script.js

El resultado final (para los sistemas infectados) es un malware ejecutable con el nombre «msscntr32.exe», que es instalado en el sistema como Servicio de Windows con el nombre «Microsoft Security Center Extension».

Como hacer inmunes tus Aplicaciones Web y base de datos de tales ataques SQL Injection automaticos. Los siguientes fragmentos de código (3.0/VB ASP y ASP.NET / C #) demuestran la imperfeccion de la aplicacion con un rapido enfoque:

<%

Dim strQuery
strQuery = UCase(Request.ServerVariables(«QUERY_STRING»))
strQuery = Replace(URLDecode(strQuery), » «, «»)
If InStr(strQuery,»EXEC(«) > 0 OR _
InStr(strQuery,»SELECT») > 0 OR _
InStr(strQuery,»INSERT») > 0 OR _
InStr(strQuery,»UPDATE») > 0 OR _
InStr(strQuery,»DELETE») > 0 OR _
Len(strQuery) > 500 Then
Response.Write 1/0
End If
%>

fuente: bloombit