Sql-besmetting infecteert meer dan een miljoen pagina's - update

Een sql-aanvalsmethode genaamd Lilupophilupop heeft in een maand tijd meer dan een miljoen pagina's van ruim 450.000 websites geïnfecteerd. Meer dan 10 procent van de besmette pagina's behoort toe aan Nederlandse websites.

Toen het Internet Storm Center begin december vorig jaar de aanvalsmethode voor het eerst tegenkwam, waren er volgens een zoekopdracht op Google amper honderd besmette pagina's. Enkele dagen later liep dat al in de duizenden en nu blijkt de teller al voorbij de miljoen besmette sites te zijn geschoten.

Sinds half december heeft het aantal infecties een hoge vlucht genomen. Op 12 december vorig jaar telde ISC ongeveer 160.000 besmette pagina's, waarvan 14.000 een Nederlandse pagina betrof. Dit aantal is inmiddels gestegen tot 123.000, zo blijkt uit een telling van eind december.

Nederland steekt hiermee met kop en schouders boven andere landen uit. Zo telde ISC in Frankrijk iets meer dan 68.000 besmette pagina's en is het Verenigd Koninkrijk goed voor 56.300 infecties. De Chinese firewall blijkt het land overigens wel goed te beschermen tegen dit soort aanvallen; in dat land staat de teller op 505.

Volgens de onderzoekers lijkt de malware slechts deels geautomatiseerd te werken. "De handmatige component en het aantal besmette sites suggereren een flinke operatie of een lange voorbereidingstijd", aldus Mark Hofman van ISC.

In Nederland blijkt de website Vakantieland.nl verantwoordelijk voor een flink deel van de besmettingen; van de genoemde 123.000 besmette pagina's blijkt deze site via diverse subdomeinen al goed voor ruim 50.000 geïnfecteerde pagina's. Een zegsman van Vakantieland.nl benadrukt dat de infecties al enige tijd verwijderd zijn. "We hebben twee keer te kampen gehad met een besmetting, op 1 en 9 december. Beide keren hebben we snel gehandeld."

Update 11.00 uur - Artikel en insteek aangepast. In de vorige versie werd gemeld dat het om 123.000 domeinnamen ging.

IT-banen

Reacties (60)

pentode 2 januari 2012 09:30

Type in google de volgende string in:

Admin-edit:dit soort teksten kunnen mensen op de verkeerde ideeen brengen dus daarom is dit verwijderd.

om een globaal overzicht te krijgen van de sites met .nl

Vergelijk dit oa met deze lijst: http://www.pcplein.nl/top100nlwebsites2011.htm om te kijken of er bekende sites bij zitten.

[Reactie gewijzigd door TheCapK op 1 augustus 2024 00:31]

tweaker2010 @pentode • 2 januari 2012 10:30

Gelukkig staat Tweakers niet tussen de geinfecteerde sites, wat is eigenlijk het gevolg van zo'n besmetting?

Vergelijk dit oa met deze lijst: http://www.pcplein.nl/top100nlwebsites2011.htm om te kijken of er bekende sites bij zitten.

Tweakers staat wel in deze Top 100, de minimale waarde zou nu 37 miljoen dollar zijn, ik denk dat Femme deze site toch iets te vroeg aan VNU heeft verkocht

sypie @tweaker2010 • 2 januari 2012 11:18

Het was niet alleen Femme, er zijn meer mensen bij betrokken geweest destijds die ook een zakcentje hebben overgehouden.

Dlocks @tweaker2010 • 3 januari 2012 00:37

, ik denk dat Femme deze site toch iets te vroeg aan VNU heeft verkocht

Ik denk dat de waarde bij die domeinen -die ze baseren op geschatte aantal dagelijkse bezoekers- niets meer en niets minder dan onzin is.

Een site met 1 unieke bezoeker per dag is volgens hun berekening al 125 euro waard.

Als dan geen onzin is dan ben ik met mijn sites multimiljonair.

i-chat @pentode • 2 januari 2012 11:58

belachelijk dat dit door een admin edit wordt verwijderd, laten we vooral negeren dat het bestaat dan lost het vanzelf op...

The Van @i-chat • 2 januari 2012 14:10

Ik ben het met je eens, maar je weet toch wie deze site bezit?

[Reactie gewijzigd door The Van op 1 augustus 2024 00:31]

mae-t.net @The Van • 2 januari 2012 19:02

Ik neem aan dat je bedoelt (je formulering is nogal vaag) dat het meer een algemene nieuws-site voor computernieuws met technische insteek is dan een echte communitysite waar de techneut bepaalt wat er wel of niet opkomt? De argumentering in dat geval is wellicht niet zo van het voorzichtige, maar iets als: Het ligt toch al lang op straat, dus zo'n zoekterm is juist informatief als je wilt weten wat er met jouw site/jouw gegevens gebeurd is of kan gebeuren. Zo bezien vind ik de admin-edit ook wat overdreven.

Overigens is er op GOT een hele forumcategorie die je desgewenst kunt gebruiken om over moderaties op de frontpage te discussieeren.

[Reactie gewijzigd door mae-t.net op 1 augustus 2024 00:31]

stijn1309 @pentode • 2 januari 2012 09:53

Nu kan tweakers.net ook tussen die zoekresultaten komen alleen al omdat jij het hier noemt

Dus niet alle resultaten die gegeven worden door google zullen ook daadwerkelijk geïnfecteerd zijn.

pentode @stijn1309 • 2 januari 2012 10:04

Klopt daarom ook glo BAAL die gene die geïnfecteerd is baalt.

Xubby @pentode • 2 januari 2012 10:25

Type in google de volgende string in: .... om een globaal overzicht te krijgen van de sites met .nl

Vakantieland.nl is zo lek als een mandje. Sowieso veel vakantie sites.
En de nodige websites van wat lijken "kleinere bedrijven."

[Reactie gewijzigd door Kixtart op 1 augustus 2024 00:31]

Pascal @pentode • 2 januari 2012 10:33

Geen wonder dat we zoveel 'besmette' pagina's hebben komt door al die (wildcard) subdomeinen van vakantieland. Skip maar eens wat pagina's verder.

kevinwalter

@pentode • 2 januari 2012 12:05

Hmmm. Uit die lijst blijkt dus dat de meeste mensen hun telefoon willen modden:

Nummer: 4 748 717 8 5 xda-developers.com 927,114 $115,889,292 Development 2,110,000 27,316 1,094,798

OT:

Dit betekend dus dat veel developers in website het anders moeten gaan doen. beveiligingen oid toevoegen.

ceekah @kevinwalter • 2 januari 2012 13:31

Het aantal Nederlanders dat dagelijks op XDA zit verbaasde mij ook enorm.
Ik vraag mij af of deze informatie wel correct is.

Oeroeg @ceekah • 2 januari 2012 17:15

De grap is dat XDA een Nederlandse website is de massaal door de rest van we wereld bezocht wordt.

SKiLLa @pentode • 2 januari 2012 12:53

Aangezien er een admin-edit heeft plaatsgevonden weet ik niet wat er exact stond, maar ik kom met die script-referentie naar Lilupophilupop nu op 270 000 pagina's uit.

Verder is het gewoon SQL Injection met een stukje auto-probing van het tabel-ontwerp; erg hip ... anno 2002. Meer technische details zijn te vinden op: http://isc.sans.edu/diary.html?storyid=12127 (de link bij het artikel verwijst niet naar de technische details)

Verwijderd 2 januari 2012 09:26

Als we absoluut al met kop en schouders boven de rest uitsteken, zal dat relatief wel helemaal het geval zijn. Ik neem aan dat er minder nederlandse sites zijn dan bijvoorbeeld franse of engelse. Zijn er ook bekende sites besmet, sites die veel mensen kennen?

Oeroeg @Verwijderd • 2 januari 2012 09:39

Als we het aantal inwoners door het aantal gehackte sites delen...

UK - 62,000,000/56,300=1101 inw./per site
NL - 16,000,000/123,000=130 inw./per site
DE - 81,000,000/49,700=1629 inw./per site
FR - 65,000,000/68,100=954 inw./per site
DK - 5,000,000/31,000=161 inw./per site
CN - 1,339,000,000/505=2651485 inw./per site
CA - 35,000,000/16,600=2108 inw./per site
COM - 30,500 nvt
RU - 143,000,000/32,000=4468 inw./per site
JP - 127,000,000/23,200=5474 inw./per site
ORG - 2,690 nvt

Dan zien we dat Nederland én Denemarken er met kop en schouders bovenuit steken.
Zou het misschien iets met de beschikbare infrastructuur die in het land beschikbaar is te maken hebben?
Denemarken is toch net als Nederland erg "bekabeld"?

Eppo © @Oeroeg • 2 januari 2012 10:38

Ipv van inwoners, lijkt het mij eerlijker om te kijken naar het aantal domeinnamen. Dan krijg je het volgende rijtje:

Domein - domeinnamen - gehackte - 1 op … is gehackt
FR - 1.905.925/68100 = 1 op de 28 websites is gehackt
NL - 4.192.454/123000 = 1 op de 34 websites is gehackt
DK - 1.095.504/31000 = 1 op de 35 websites is gehackt
RU - 3151215/32000 = 1 op de 98 websites is gehackt
UK - 8.990.079/56300 = 1 op de 160 websites is gehackt
DE - 14.042.397/49700 = 1 op de 283 websites is gehackt
JP - 8.765.919/23200 = 1 op de 378 websites is gehackt
COM - 91.795.038/30500 = 1 op de 3010 websites is gehackt
CN - 3.494.227/505 = 1 op de 6919 websites is gehackt
CA - Onbekend/16600 = Onbekend
ORG - Onbekend/2690 = Onbekend

Edit: Heb het aangepast, de 0 kwam naar voren omdat het lijstje gewoon even is gekopieerd uit Excel. Ging er vanuit dat bezoekers van Tweakers wel zo snugger waren om dat te begrijpen. Punt van mijn post was dan ook meer dat inwoners aantallen niet zoveel zeggen. Als je bijv naar Frankrijk kijkt. Daar wonen 65 miljoen mensen, maar zijn nog geen 2 miljoen domeinen geregistreerd. In Nederland wonen er maar 16 miljoen mensen, maar zijn wel ruim 4 miljoen domeinnamen in omloop.

Edit2: Het zijn dus pagina's niet het aantal domeinen, dan stond er eerst niet. Hierdoor is eigenlijk mijn lijstje nutteloos geworden

[Reactie gewijzigd door Eppo © op 1 augustus 2024 00:31]

Bender @Eppo © • 2 januari 2012 14:49

Hoe kom je aan de informatie?
Heb je enkel gekeken via google.nl of ook specifiek voor google.ca voor specifiek .ca pagina's want dat maakt nogal verschil.

Mellow Jack @Eppo © • 2 januari 2012 11:08

Dan klopt het nog steeds niet

Je moet kijken hoeveel pagina's een bepaalt domein heeft...

sypie @Eppo © • 2 januari 2012 11:17

1 op de 0 sites die gehackt zijn dat kan niet, en daar is geen uitgebreide wiskunde voor nodig...

Verwijderd @sypie • 2 januari 2012 11:23

Ik zou daar gewoon onbekend neerzetten, aangezien aantal besmettingen ook onbekend is. Dan kun je daaruit geen harde cijfers concluderen

Xubby @Oeroeg • 2 januari 2012 10:22

Een mogelijke verklaring staat in het artikel: "... dat de aanvallers zich bewust op Nederland richten ..."
Een andere kan zijn dat we in NL nogal op de centen zijn: meer "budget websites" met minder aandacht voor beveiliging / veiliger in sql programmeren?

defcon84 @Oeroeg • 2 januari 2012 10:47

BE - 11.000.000/1.320 = 8333 inw./per site

België is blijkbaar geen doelwit

tboynl 2 januari 2012 10:05

Als je in Google de resultaten bekijkt van de zoekopdracht 'script src="http://lilupophilupop.com/" site:.nl', dan zie je dat veel dezelfde sites erbij waaronder voornamelijk vakantieland.nl. Als het getal 123.000 deze zoekopdracht als basis heeft, ligt het werkelijke aantal uniek gehacked sites een heel stuk lager.

DenialOfSan @tboynl • 2 januari 2012 10:19

Precies, als je zoekt met als extra termen '-vakantieland -tradex' dan blijven er nog maar 6570 hits over.

Danny @DenialOfSan • 2 januari 2012 10:31

Jup, met *knip* kom je op ongeveer 750 resultaten. Ook daar zitten nog dubbelen tussen. Het gaat dan ook niet om 130.000 SITES, maar 130.000 google resultaten. Dat zijn in het meest ongustige geval 130.000 unieke PAGINA'S, maar ook daar kunnen nog dubbelen bijzitten als de pagina via meerdere url's bereikbaar is.
Kortom; er zijn een handvol sites waarop de injectie heeft plaatsgevonden. Bekende sites heb ik nog niet gezien.
Het artikel mag dus ook wel aangepast worden imo.

Admin-edit:Zoekterm verwijderd

[Reactie gewijzigd door Herman op 1 augustus 2024 00:31]

Auteur

Wilbert de Vries @Danny • 2 januari 2012 11:00

Ik had ISC hoger zitten dan dit maar had overduidelijk zelf ook beter mijn huiswerk moeten doen

Ik heb het artikel aangepast.

hoberion @DenialOfSan • 2 januari 2012 10:26

yup, volgens mij kan het verhaal wel aangepast worden

FaBioTh @DenialOfSan • 2 januari 2012 10:32

Nog beter gezegd, na pagina 4 zegt google ook dat het er maar 38 zijn.. beetje dubieus dat hier nieuwsartikelen dan op gebasseerd worden.

jj71 2 januari 2012 09:36

"Lilupophilupop"? Wat een vreemde naam. Betekent dat nog iets? Googelen op die naam duidt erop dat het domein lilupophilupop.com "malicious" is (ga er niet naartoe met je browser!) en dat het waarschijnlijk scripts probeert te injecteren die via SQL-injectie proberen databases te beschadigen.

pentode @jj71 • 2 januari 2012 09:41

De database is niet beschadigd hoor. Het doel is juist een record te wijzigen of er eentje bij te zetten waar de bovengenoemde malicious code in gezet wordt. De webpagina van de betreffende besmette website wordt (deels) opgebouwd uit records lees data uit de database. En zo komt de code in een webpagina terecht of onterecht ;-)

jj71 A propos dit is dus NIET de SQL-code zelf maar wat via de sql injectie methode
uiteindelijk in de code van de webpagina komt.

[Reactie gewijzigd door pentode op 1 augustus 2024 00:31]

jj71 @pentode • 2 januari 2012 09:46

Dat hangt er vanaf wat je onder "beschadigd" verstaat. Als één of ander script wat niet op een website thuishoort probeert via SQL-injectie ongeauthoriseerd records te wijzigen of te verwijderen dan noem ik dat "beschadigen".

pentode @jj71 • 2 januari 2012 09:54

Het 'aangezicht' is beschadigd of de integriteit.

De database 'engine' het programma draait nog steeds.
Het representeert nog steeds data die middels een query opgevraagd wordt.

Anders zou ook het doel 'het bekladden' misbruiken van de website voor eigen 'gewin'
te niet worden gedaan.

Eventueel had het ook mogelijk geweest, de code zonder tussenkomst van een database in bijvoorbeeld .htm(l) .php 'hard' erin te zetten. Nu is dit dynamisch gedaan via een SQL injectie. Als je maar toegang weet te verschaffen. De weg naar je doel.

[Reactie gewijzigd door pentode op 1 augustus 2024 00:31]

Mellow Jack @jj71 • 2 januari 2012 09:48

Als we praten over databases dan noem je het gewoon normaal gebruiken

De database werkt daarom ook prima, het is de site die een script kan uitvoeren met de verkeerde rechten

Edit: Waarom je dan ook bij elk bericht een +2 krijgt snap ik niet helemaal... (niet lullig bedoeld oid)

[Reactie gewijzigd door Mellow Jack op 1 augustus 2024 00:31]

Mellow Jack @jj71 • 2 januari 2012 09:42

(ga er niet naartoe met je browser!) en dat het waarschijnlijk scripts probeert te injecteren die via SQL-injectie proberen databases te beschadigen.

Deze snap ik niet... Welke databases? Ik denk persoonlijk dat je een verband legt die niet helemaal klopt. Volgens mij is dit juist een actieve aanval... Anders is het voordeliger om de besmette pc's te laten spammen ofzo

jj71 @Mellow Jack • 2 januari 2012 09:44

Databases die achter websites zitten, bijvoorbeeld met gebruikersgegevens enz. Zoek maar eens op de naam, dan vindt je andere artikelen waaruit blijkt dat het hier over SQL-injectie gaat.

Mellow Jack @jj71 • 2 januari 2012 09:47

Klopt maar als jij met je browser naar het domein gaat, jij geinfecteerd wordt en ze zo, via jou, SQL injecties gaan uitvoeren dan lijkt me dat een enorm omslachtige methode

Daarom zeg ik, volgens mij leg je verbanden die niet kloppen... Of je hebt het gewoon zo getypt dat ik het niet begrijp

[Reactie gewijzigd door Mellow Jack op 1 augustus 2024 00:31]

Mikke8 2 januari 2012 09:29

Wat maakt Lilupophilupop zo speciaal tegenover een gewone SQL injectie?

Oeroeg @Mikke8 • 2 januari 2012 09:58

De grote schaal waarop hij gebruikt wordt.

Verwijderd @Mikke8 • 3 januari 2012 08:27

Maakt Lilupophilupop gebruik van SQL injectie?
Ik zag dat er niet bij staan in het artikel.

blorf 2 januari 2012 10:52

Ik twijfel eraan maar als dit waar is, is er dan niet gewoon sprake van een groter beveiligingsrisico in bepaalde SQL-server software? Misschien dat er wat dingetjes default anders ingesteld moeten worden zodat beheerders die een beetje oplettend zijn een melding zien dat SQL-injectie mogelijk is als ze die instellingen weer veranderen?

Als ik het goed begrijp bestaat een injectie uit opdrachten aan de database die genest worden in invoervelden of via een andere methode om data naar een server te sturen.
Ik ben geen expert op dat vlak, maar kan bijv. een Apache+MySQL server binnenkomende data niet gewoon controleren op dat soort truukjes zodat de beheerder niet allerlei maatregelen hoeft te treffen om dat tegen te gaan?

MaxxMark @blorf • 2 januari 2012 11:10

Zoals je zelf al een beetje zegt ligt het er aan hoe mensen (of applicaties) de database interactie implementeren. De database software zelf is gewoon goed en bevat geen beveiligingslek.

Wat je suggereert is ook correct, de implementerende partij moet maatregelen nemen om SQL injection tegen te gaan. Dit is iets wat ook veel partijen gewoon doen, namelijk het sanitizen van wat er binnenkomt alvorens het naar de database te sturen.

Helaas zijn er nog genoeg ontwikkelaars op deze wereld die niet de moeite hebben genomen om dit netjes af te vangen.

Zie je ook meteen de reden waarom het handig is om met ontwikkelaars te werken die wel kennis hebben van de diverse security risks die er zijn.

pentode @MaxxMark • 2 januari 2012 12:28

Helaas uit eigen ervaring sprekend vind de opdrachtgever het in de regel minder belangrijk of heeft geen notie, stelt dit niet van te voren op als eis, verplichting. Ook al breng je dit te berde.
Een gelickte site willen ze hebben.
Passend binnen het budget cq sluitpost.

Makkelijk te beheren met content management. Zodat Ingrid van de receptie er ook mee overweg kan, om het bij te houden. Want het lijkt zo op msWord.
Laterrrr als er een keertje flink ge-defaced is. Of alle wachtwoorden op straat liggen, dan wordt eens flink achter de oren gekrabbeld. Daarvoor was je een zeur.

Gelukkig sijpelt langzaam het besef binnen dat security wel degelijk een issue is.
Het word nu tenminste niet weggewuifd maar instemmig geknilkt. Af er echt wat mee gebeurd is vers twee.

Katerin 2 januari 2012 09:41

Ik mis in het verhaal eigenlijk wel wat het linkje doet.

Maar zo te zien vraagt het je om een nep virusscanner te installen
Ondertussen heeft google de site al geblockt.

pentode @Katerin • 2 januari 2012 10:37

Installeer in Firefox indien nog niet gedaan de No Script Add-on geen reclame hoor, gewoon een must have add on ;-)
Ga naar een website toe bijvoorbeeld tweakers of rtl.nl klik op het NO script icoontje.

En er verschijnt bij sommige websites een waslijst aan scripts die in de regel op de achtergrond worden uitgevoerd. Bijvoorbeeld er wordt een plaatje getoond met een aanbeveling voor een virusscanner. Normaal worden deze scripts niet geblokkeerd.
No script laat ze echter zien en geeft de mogelijkheid ze te blokkeren. Even om het helder te maken.

De website voelt vertrouwd aan. Dus je klikt op het plaatje ...........
En je komt door de in het artikel genoemde SQL injectie bij http://lilupophilupop.com (dat zie je dus niet), daar download gelijk een virusscanner die je vervolgens installeert. Want het is allemaal zo vertrouwd.
Het is te raden wat er vervolgens met de pc gebeurd. Indien deze onvoldoende beschermd is.

[Reactie gewijzigd door pentode op 1 augustus 2024 00:31]

Zakkenwasser 3 januari 2012 09:03

Waarom draait die besmette website nog? Waarom word die niet met spoed van het web afgeknikkert?

com2,1ghz @Zakkenwasser • 3 januari 2012 10:16

Omdat niet iedereen hiervan op hoogte is? Het zijn ook meestal verouderde sites als je er een paar bezoekt. Zeg nou zelf, heb jij gekeken naar je eigen site of die er tussen staat?

nextware 2 januari 2012 09:32

Ik heb bovenstaand overzicht eens opgevraagd. Het lijkt erop dat de organisatie achter de website vakantieland.nl eens dringend naar de beveiliging zijn (sub)domeinen moet kijken

pietermx 2 januari 2012 10:05

Misschien een verband met nieuws: Turkse hackers nemen duizenden Nederlandse sites op de korrel ?

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (60)

Sorteer op:

Weergave: