Der kommer masser af hits hvis man googler tekststrengen "adw95.com/b.js" på danske internetsider.
Det er dog en dårlig ide at klikke ind på siderne, for dermed risikerer man at blive omdirigeret til en hacker-kontrolleret side, hvor eventuelle sikkerhedshuller på ens computer kan blive udnyttet maksimalt.
Adw95.com er nemlig et af de domæner, hackerne benytter.
Det reelle antal danske sites, der er berørt, er langt mindre end antallet af Google-hits, men derfor er problemet alligevel stort, konstaterer Peter Kruse, sikkerhedsekspert hos CSIS, overfor ComON.
»Det er en type angreb, som vi har set meget på det seneste - og som vi kommer til at se endnu mere til i fremtiden! Det er det største sikkerhedsproblem, siden vi begyndte at modtage virus med vedhæftede filer i e-mails,« siger Peter Kruse, der betegner angrebene som den altoverskyggende sikkerhedstrussel i øjeblikket.
Nyhedstjensten digi.no skrev tidligere, at en lang række norske private og offentlige sites var blevet angrebet af med en såkaldt SQL-injektion, som udnytter en manglende validering af paramtre i webapplikationer.
Angrebet er alvorlig, fordi de indledende SQL-injections eller såkaldte RFI angreb foretages med værktøj, der er særdeles lette at betjene. Det har betydet et hav af forskellige varianter af angrebene, hvilket gør bekæmpelsen svær. Nogle af angrebene har haft held til at inficere en halv million sider. Andre har opnået mere beskedne 5-6.000 sider.
De tre mest udbredte af de farlige scripts er adw95.com, banner82.com og dota11.cn.
Det farlige script, som hackerne har fået anbragt på tusindvis af sites, kan findes med en simpel Googlesøgning, skriver digi.no.
Googlesøgningen viser dog kun, hvilke sider, der var inficeret på indekseringstidspunktet. Således er den skadelige kode fjernet fra alle de berørte sites, som ComON kontaktede her til eftermiddag. På mobil.nu, der er et søstersite til ComON, blev man opmærksom på scriptet samme dag som det blev påført, nemlig den 21. maj. Samme dag blev databasen renset, og det skadelige script fjernet, men stadigt dukker mobils side op som det første hit, når man googler "adw95.com/b.js".
Et af de danske sites, der blev ramt, var folketinget.dk, som opdagede sql-injektionen tirsdag morgen.
»Det blev stoppet 2-3 minutter efter, det blev placeret på siden. Sitet gik simpelthen ned,« siger webmaster Jørgen Sjøstrøm.
Men det tog ikke pusten fra hackerne, der ifølge Folketingets it-chef Ole Søndergaard forsøgte at ramme folketinget.dk igen onsdag eftermiddag.
»De forsøgte sågar igen i dag. Men det har ikke haft nogen indvirkning på vores side,« forsikrer han.
Derudover har ComON talt med blandt andet TV2 Nord, Vejle Bibliotekerne, DanefredBolig og Århus Elite A/S, som alle bekræfter, at hackere har tilføjet scriptet på deres respektive hjemmesider.
»Det har været der i to omgange på agf-fodbold.dk. Senest i begyndelsen af ugen,« siger Bo Jensen, kommunikationsmedarbejder, Århus Elite A/S.
Samtlige talspersoner fra ovenstående firmaer og institutioner understreger dog, at problemer er løst.
I Norge har lederen af Telenor Security Operations Centrer Frank Stien advaret om, at man hidtil kun har set topppen af isbjerget, når det gælder inficerede sites. Han opfordrer alle virksomheder og offentlige hjemmeside-ejere til at tjekke, om deres webserver skulle være inficeret, og at sikkerhedsprogrammer er opdateret.
