DK-CERT: Botnet angriber med SQL-indsætning

Nogle af de massive angreb med SQL-indsætning kommer fra botnet, der bruger dem til at inficere nye pc'er, skriver lederen af DK-CERT, Shehzad Ahmad, i sin månedlige klumme.

Artikel top billede

De seneste måneder har en række legitime websteder spredt skadelig software.

Det sker ved, at der på websiderne står script-kommandoer, der henviser til en anden webside, hvorpå de skadelige programmer kører.

Disse programmer forsøger at udnytte velkendte browsersårbarheder til at installere software.

Den sidste del af angrebet er forholdsvis nem at forstå. Men hvordan går det til, at kendte og respekterede websteder som USA Today, ABC News og Packard Bell spreder skadelige programmer?

Forklaringen er, at de er ramt af SQL-indsætning.

En angriber har udnyttet en sårbarhed i web-applikationer på de pågældende websteder til at snige den skadelige script-kode ind på siderne.

I praksis foregår det ved, at angriberen i et inputfelt eller et argument i en URL-streng tilføjer nogle SQL-kommandoer.

Hvis web-applikationen ikke tjekker input, men bare sender hele tekststrengen videre til databasen, bliver SQL-kommandoerne udført.

Denne angrebsform er velkendt.

Det, der har undret os gennem de seneste måneder, er den store mængde af sider, der tydeligvis var blevet ofre for SQL-indsætning.

Det er så mange, at der må ligge en form for automatiseret angreb bag.

Asprox angriber

Sikkerhedsforsker Joe Stewart fra firmaet SecureWorks fandt for nylig en vigtig brik til puslespillet.

Han følger aktiviteten på botnet, altså netværk af pc'er, der uden deres ejers vidende bliver fjernstyret af nogle bagmænd.

Joe Stewart opdagede, at botnettet Asprox blev opdateret med ny software i begyndelsen af maj.

Den nye software var et værktøj til SQL-indsætning. Værktøjet søger via Google efter websteder, der indeholder .ASP-sider.

Herefter forsøger værktøjet at indsætte SQL-kommandoer på de sider, Google-søgningen har fundet frem til. Hvis det lykkes, bliver der tilføjet en tekststreng til en række felter i databasen.

Tekststrengen indeholder en kommando, der åbner et script i en såkaldt Iframe.

Denne kommando vil blive vist og eventuelt udført, når databasefelterne indgår i en webside, der vises i en browser.

Herefter føres man hen til en ny webside, der prøver at udnytte kendte sårbarheder til at installere programmer med. Hvilke programmer? Det kunne for eksempel være botnet-programmet, så gæsten også bliver indrulleret i det.

Fast flux

En særlig finesse ved dette angreb er, at det er koblet sammen med et såkaldt fast flux-netværk.

I et fast flux-net er et domænenavn koblet til en lang række IP-adresser, der skifter med korte mellemrum.

På ét tidspunkt fører et besøg på domænet til én IP-adresse, nogle minutter efter til en helt anden.

Koblingen er smart, fordi IP-adresserne alle tilhører pc'er i Asprox-botnettet.

Så SQL-angrebet indeholder et Iframe-link til et script på et bestemt domæne.

Dette domæne henviser igen til én ud af en række IP-adresser. Når en af pc'erne forsvinder fra nettet, fx fordi dens ejer scanner sin pc for virus, er der straks nye, som kan tage dens plads.

Problemet er udbredt. En Google-søgning foretaget i denne uge viser, at godt 119.000 websider har været ramt af angrebet fra Asprox-botnettet.

Hvad kan man gøre for at beskytte sig? Hvis man har ansvaret for en web-applikation, der kommunikerer med en database, er svaret: Skriv applikationen om.

Applikationen må ikke sende tekststrenge fra brugerinput direkte videre til databasen.

I stedet skal man enten rense input eller kalde stored procedures med parametre i stedet for direkte at udføre SQL-kald.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team.

I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.

DK-CERT's leder, Shehzad Ahmad, opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.

Computerworld Events

Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

Sikkerhed | Højbjerg, Aarhus

Cyber Security Summit 2026 - Aarhus

Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

Digital transformation | Aarhus

AI i det offentlige - Aarhus

Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

Digital transformation | Køge

Derfor skal du videre fra Dynamics AX – og sådan gør du

Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

Se alle vores events inden for it

Navnenyt fra it-Danmark

Pentos har pr. 2. juni 2025 ansat Jonas Kyhnau som Seniorkonsulent. Han skal især beskæftige sig med at rådgive virksomheder om HR digitalisering og implementering af SAP SuccessFactors og SmartRecruiters. Han kommer fra en stilling som Seniorkonsulent og PMO lead hos Gavdi. Han er uddannet Cand.merc Human Resource Management fra Copenhagen Business School. Han har tidligere beskæftiget sig med med Onboarding, Employee Central (Core HR). Nyt job

Jonas Kyhnau

Pentos

IFS Danmark A/S har pr. 1. april 2026 ansat Sarah Warm som Account Executive, Energy & Utilities. Hun skal især beskæftige sig med salg af IFS' løsninger til nye kunder inden for energibranchen. Hun kommer fra en stilling som Account Executive hos Synergy Investment Group i Holland. Hun er uddannet BSc Economics and Business Economics, Neuroscience & MSc Business Administration Digital Business. Hun har tidligere beskæftiget sig med Solution Sales & Cybersecurity. Nyt job

Sarah Warm

IFS Danmark A/S

Elbek & Vejrup A/S har pr. 1. juni 2026 ansat Mikkel Bernt Buchvardt som AI Architect & Product Manager. Han skal især beskæftige sig med udviklingen af AI-Services og AI-Agenter i og omkring Business Central. Han kommer fra en stilling som Lead Data & Analytics hos IBM. Han er uddannet MSc. i softwareudvikling fra ITU. Han har tidligere beskæftiget sig med Data og BI hos KMD og Seges Innovation. Nyt job

Mikkel Bernt Buchvardt

Elbek & Vejrup A/S

Pinksky ApS har pr. 1. maj 2026 ansat Jeppe Spanggaard, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med Digitalisering med Microsoft-platformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Nyt job

Jeppe Spanggaard

Pinksky ApS