Her en kort oppdatering på SQL injection-aktiviteten som pågår. Vi ser en stadig økning i antall kilder som angriper nettsteder og forsøker å injecte ulike domener. Den siste uken har all observert SQL injection-aktivitet vært knyttet til Danmec/Asprox. Under vises en oversikt over antall unike kilder vi har sett pr. dag.
Fra 21. juni til 16. juli har vi sett over 140000 unike kildeadresser. Den siste uken, fra 9. juli til 16. juli, registrerte vi 78400 unike kildeadresser.
Endringer i angrep
Vi ser også at det nå ligger referanser til /fgg.js på enkelte infiserte nettsteder, men på grunn av blant annet plasseringen av script-tag'ene, tror vi ikke dette er et resultat av de vanlige SQL injection-angrepene (til tross for at det er de samme kjente "Danmec-domenene" som benyttes).
Referansen til /fgg.js er typisk å finne nederst på siden, rett foran den avsluttende body-taggen:
Derimot ser vi at det fremdeles injectes referanser til /ngg.js som tidligere (og /b.js er fremdeles aktivt på eldre infiserte nettsteder).
Oversikten over domener som blir forsøkt injectet er også oppdatert:
Trykk på bildet for full oversikt
Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.
Ingen kommentarer:
Legg inn en kommentar