ngg.js ataque por injection sql

Buenas (x decir algo).
Esta noche sufri un ataque brutal que aun estoy intentando ver por donde me vino. Me explico:
Esta mañana al llegar al trabajo me salto el antivirus al abrir una de las paginas que hacemos en la empresa, mi sorpresa fue mayor cuando al ir abriendo pagina a pagina descubri que en todas las webs saltaba el antivir. Mirando el codigo, estab insertado muchisimas veces un script: ngg.js. Mirando mas alla, en la BBDD habian hecho un update tremendo sobre todas las tablas que pudieron.
Suerte que se hace un backup todas las noches y pudimos tirar de la copia de antes de ayer(la de ayer estaba corrupta).
Mirando informacion (toda en ingles), vi que era una especie de bot que ejecuta una inyeccion sql que deja al sistema desprovisto y luego hace todos los update que le da la gana.
Alguien tiene mas informacion sobre este script, que es lo que hace, como pararlo, etc...
Eso si, debe ser un script comunista, ya que no ataca a paises como Rusia, Vietnam, China...

Rusia precisamente no es un estado comunista ...

Pero dejando la política aparte, deberás emplear el sentido común:

1º Lanza un mensaje a tus usuarios de tu/s web/s que por mantenimiento van a estar unas horas offline.

2º Actualiza a las últimas versiones y parchea con las últimas actualizaciones de seguridad, el/los sistemas operativos de tu/s servidor/es y de los servidores web y de los gestores de bases de datos que tengas

3º Haz un analisis forense del ataque (log/s, visor de sucesos,...) y si tienes identificado el tipo de ataque y la vulnerabilidad que explota asesorate de como neutralizarlo, p.e estas páginas te ayudarán:
http://www.securityfocus.com/vulnerabilities
http://www.SQLCleanup.com
http://www.honeynetcr.org/es/node/8
http://www.2-spyware.com/

salu2

Hola, me ha pasado lo mismo lo que pasa que yo tengo las webs en Arsys. Con que antivirus te salta, pues yo tengo puesto el norton antivirus 2007 actualizado y ejecuto mi web y no hace nada, ni me dice nada.

Alquien que le haya pasado esto, pues he mirado en google y hay infinidad de paginas que tienen inyectado ese codigo...

un saludo.

HOla, a mi me paso lo mismo sobre una BD en la que estaba trabajando, quisiera tambien informacion, porque ataco mi página? por entrar en algun sitio o q? que formas hay de combatirlo y si restauro la BD no me vuelva a entrar?? un saludo gracias.

Hola, comentar que el Norton el segundo dia si lo detecta el norton.

El ataque ha sido a nivel global pienso que no es porque hayas entrado a algun sitio o algo.

Sigo mirando los logs y sigue habiendo ataques. Si restauras la BD no sirve de nada sigues teniendo el agujero en tu programacion.

alguien que lo haya solucionado??

cierto restaure la BD y sigue habiendo script. He leido que deberia de capar las cajas de texto para que no se pueda meter codigo SQL y restringir algunos caracteres, Sabeis de algun codigo javascript para esto??? o alguna web con un tutorial o algo similar para ver cmo tengo que hacerlo ?? gracias un saludo.

A mí me pasó lo mismo con tres sitios que había hecho.

Como solución rápida para evitar nuevas infecciones, cambié el usuario con el que mis páginas acceden a la base de datos para que tuviera permiso de sólo lectura.

Para limpiar los campos ya infectados, hice una aplicación tonta que podéis descargar en http://miguel.villafranca.googlepages.com/home.

Para terminar la tarea, hay que revisar tooooodos los casos en los que mandas una consulta al servidor, y ver que toooooodos los parámetros que le envias tienen valores controlados (usar prepared statements o stored procedures es un buen comienzo)

yo he restaurado la BD y he capado el usuario para que realice select como tu me dices, y aun asi en algunos campos (2 tablas y una vista) queda script. El tema esta en que he leido que el robot ataca cada dia o cada 2 a lo mucho....si no me ha vuelto a atacar...es que está solucionado? no entendi muy bien el tercer paso que me dijiste krooole, eso de usar procedimientos almacenados? para que?

Sabes como puedo capar las cajas de texto? que no deje meter ciertas palabras? algun tutorial o codigo javascript??
Otra cosa tengo un formulario de contacto...tiene los campos, nombre, direccion, mail...asunto...eso son cajas de texto...deberia caparles tambien? podrian añadir codigo malicioso en esas cajas de texto?

gracias por su ayuda, un saludo!

Los métodos para protegerse consisten principalmente en no introducir en tus consultas parámetros que vengan directamente del usuario (por HTTP GET o POST). Esto incluye también las cajas de texto de un formulario de contacto.

Por ejemplo, en ASP, nunca hay que hacer algo como esto:

query = "SELECT * FROM mi_tabla WHERE id=" & Request("id")

Porque, de esta manera, cualquier cosa que te pasen en el parámetro id irá directa a la base de datos.

Por desgracia, un código javascript no sirve para nada, porque se ejecuta en el navegador del atacante, y un usuario malicioso puede saltárselo sin ningún problema.

Las buenas prácticas para protegerse de este tipo de problemas son muy detalladas para describirlas aquí, y yo no soy ningún experto. Te recomiendo que busques "inyección sql" o "sql injection" por internet, hay muchas guías de seguridad muy buenas.