Onderzoekers van onder andere Grisoft en SANS waarschuwen voor de hack. "Het komt erop neer dat op elk stukje text in je database een javascript tag is bevestigd dat de opdracht geeft een script uit te voeren op n.uc.8010," schrijft een blogger onder de naam websmithrob. Het Sans Internet Storm Center schrijft dat het domein ucmal.com ook verdacht is, en ongeveer hetzelfde concept aanhangt. Voor het weekend maakte SANS al melding van een kraak op de website van softwarerreus CA. Deze werd ook teruggekoppeld naar n.uc.8010 in China.

"De webpagina's zijn gehackt door een robot met een SQL injectie-aanval. Deze voert een SQL loop uit die alle normale tabellen in de database opspoort door in de sysobjects-tabel te neuzen. Het schadelijke script wordt in elke kolom met tekst gezet", legt de blogger uit. "Omdat de robot het moet hebben van sysobjects, is het mogelijk dat alleen MS SQL kwetsbaar is voor de robot, aldus websmithrob. Een commentator op SlashDot wijst er echter op dat de aanvallers ook hadden kunnen kiezen voor het vergelijkbare INFORMATION_SCHEMA, en dat elke database het slachtoffer had kunnen worden. "SQL-injecties komen stom genoeg veel voor omdat schrijvers van webapplicaties, voor welk platform dan ook, geschreven regels voor veilig programmeren negeren," schrijft de commentator.

De tag verwijst naar een hackserver, die bezoekers bestookt met arbitraire bestanden en een kwaadaardig javascript. Die probeert vervolgens meerdere exploits uit te voeren waarmee de systemen gegijzeld kunnen worden. Aan de clientzijde worden reeds gepatchte lekken in RealPlayer en MDAC genoemd.

Roger Thompson, chief research officer van beveiliger Grisoft, schrijft op zijn weblog dat het gaat om 'een redelijk geslaagde massa-hack'. Een Google search op het verdachte domein, n.uc8010, levert tegen de honderdduizend hits op van pagina's die naar het domein verwijzen. Hij schat dat op dinsdag zo'n 70 duizend pagina's besmet waren. "En het is niet alsof ze een serverpark hebben aangevallen, daar zijn de sites te divers voor." Wat Thompson verbaast is dat de exploits die op de gebruiker losgelaten worden, verouderd zijn. "Het is alsof ze goed werk afleveren met een exploit aan webzijde, maar dat ze daar een stokoude client exploit bij gebruiken. Ze zijn bijna in tegenspraak met elkaar." Bron: Techworld