Yarım Milyon IIS Sunucusu Siber Saldırıya Uğradı

Internet Information Server (IIS)Açıkları olan Internet Information Server (IIS) tabanlı web sayfalarına, kitlesel bir siber saldırı yapılıyor. Saldırının amacı bu sayfaların ziyaretçilerini bir kötü kod’a yönlendirmek. Saldırının gittikçe artan hızda büyüdüğü bildiriliyor.  ASP Sitelerinin etkilendiği açık için site yöneticileri uyarılıyor.

Açıkları olan Internet Information Server (IIS) tabanlı web sayfalarına, kitlesel bir siber saldırı yapılıyor. Saldırının amacı bu sayfaların ziyaretçilerini bir kötü kod’a yönlendirmek. Saldırının gittikçe artan hızda büyüdüğü bildiriliyor.

Panda Security olayı ilk bildirdiğinde, etkilenen IIS sunucu sayısını 282.000 olarak vermişti. F-Secure firması da daha sonra bu rakamı 500.000’den fazla olarak raporladı.

İşin kötüsü saldırılar sadece kötü şöhretli sitelerden değil, yanı sıra iyi bilinen sitelerden de geldi. Gizli bir şekilde gömülen IFRAME’ler kullanıcıları kimlik çalmaya yarayan kod parçalarının otomatik olarak yükleneceği sayfalara yönlendirdi. Yani bilgisayarlarının temiz olduğunu sanan kullanıcılar da durumun farkında değillerdi.

Panda Security’den Ryan Sherstobitoff; “Eski günlerde, ancak internetin karanlık taraflarına giderseniz enfekte olursunuz diye düşünülürdü. Şimdi artık saldırıya uğramak için kötü alanlarda dolaşmanız gerekmiyor. İnternetin iyi tarafında dolaşırken de enfekte olabiliyorsunuz” diyor.

Uzmanlar, kötü yazılmış SQL kod nedeniyle oluşan açık olması durumunda, web sayfasındaki forma işlenmiş olan kullanıcı verilerinin iyi incelenmediğini belirtiyorlar.

Bir forma veri girildiğinde, SQL veri tabanına kötü amaçlı bir kodun yerleşip yerleşmediğini fark edtmek, yazılımcının maharetine kalmış bir durum. Hackerlar kodları ayıklamayan siteleri buluyorlar.

Kötü amaçlı kodları IFRAME içine yüklenerek, kullanıcılar kötü web sitesine doğru yönlendiriyor. Kullanıcı bilgisayarında Microsoft tarayıcının açığı eğer yamalanmamışsa, kendisini yüklüyor ve kurbanın bilgisayarında sistemi kuruyor.

Problem, IIS Web sunucuları etrafında oluşuyor. Çünkü hacker’ların hedefi özellikle Microsoft’un, SQL sunucusu ile bağlantılı olan ASP sayfaları.

Sherstobitoff, saldırının en fazla ABD’yi vurduğunu açıkladı. Özellikle de popüler sitelere doğru saldırılar yapılıyor. Panda ve F-Secure firmaları kötü kodun yönlendirme yapan web sayfalarına gizlendiğini açıkladılar. Sonuçta site yöneticilerinin web sayfalarında aşağıdaki satırın yer alıp almadığını kontrol etmeleri isteniyor.

script src=http://www.nihaorr1.com/1.js

Bu web sitesinin herhangi bir yerinde yer alıyorsa, o zaman bir probleminiz var demektir. Sunucunuzun en son yamalarını tamamlamanız ve konfigürasyonu tam yapmanız gerekecek.

Uzmanlar, kullanıcılara da bilgisayarlarında en son yamaların yüklenmiş olmasına dikkat etmelerini tavsiye ediyorlar. Böyle olursa, başka bir siteye yönlendirilseniz bile, kötü amaçlı kodun yüklenme şansı yok olacak çünkü açık bulamayacak.