Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 Недокументированное применение @. Кто-то пытается хакнуть сервер.  [new]
Udacha
Member

Откуда: Russia,SPb -> Germany, FFM
Сообщений: 47
Всем доброго времени суток !

Кто-то пытается нас хакнуть, засылая через сервер приложения (Cold Fusion) запросы с некорректными параметрами. Долбят с разных анонимных прокси примерно в течении 2х минут, затем уходят на другой IP.
В принципе, хакерам у нас ничего обломиться не должно, но настораживает - идет явный подбор имени базы путем засылки параметра вида
qdvcyvtp@pubs, где qdvcyvtp - произвольный набор символов, pubs - возможное имя базы. Pubs я указал как пример, там попытка подобрать по звучанию (pub, pubs, pabs, paubs etc.) похожее на имя проекта.
В связи с этим вопрос - есть ли какие-либо недокументированные возможности получить какую-либо информацию из базы либо вызвать сбой (например Memory overflow) при использовании вышеуказанной конструкции?
Пока что все сбойные запросы отваливаются еще на уровне ODBC-драйвера.

Заранее спасибо всем ответившим.
5 сен 05, 14:30    [1846815]     Ответить | Цитировать Сообщить модератору
 Re: Недокументированное применение @. Кто-то пытается хакнуть сервер.  [new]
tpg
Member

Откуда: Novosibirsk
Сообщений: 23902
select @@version
что вернет?
5 сен 05, 14:34    [1846832]     Ответить | Цитировать Сообщить модератору
 Re: Недокументированное применение @. Кто-то пытается хакнуть сервер.  [new]
GreenSunrise
Member

Откуда:
Сообщений: 12310
Возможно, пытаются получить доступ к базе pubs, которая ставится вместе с сиквелом и является "тренажером", где показываются всякие примеры из хелпа. Подобрать случайное имя трудно, а вот попытаться получить доступ к одной из "стандартных" баз - неплохой путь для того, чтобы потом запустить какую-нибудь бяку вроде "exec xp_cmdshell 'format c:'" или sql injection, способов коего пруд пруди.
5 сен 05, 14:36    [1846846]     Ответить | Цитировать Сообщить модератору
 Re: Недокументированное применение @. Кто-то пытается хакнуть сервер.  [new]
Николай Денищенко
Member

Откуда: Москва
Сообщений: 346
А что ещё идёт с сервера приложений? В каком контексте применяют qdvcyvtp@pubs? Просто не очень ясна фраза "путём засылки параметров вида..."
---------------------------
Я люблю ЖЖизнь
5 сен 05, 14:40    [1846871]     Ответить | Цитировать Сообщить модератору
 Re: Недокументированное применение @. Кто-то пытается хакнуть сервер.  [new]
iSestrin
Member

Откуда: Новосибирск
Сообщений: 3811
>pub, pubs, pabs, paubs etc.<
хороши хакеры, нетвердо знающие имя бд, которая с сиквелом ставится:)
а если файрвол поставить? - да на худой конец ip-фильтром прикрыть...
5 сен 05, 15:01    [1847007]     Ответить | Цитировать Сообщить модератору
 Re: Недокументированное применение @. Кто-то пытается хакнуть сервер.  [new]
Udacha
Member

Откуда: Russia,SPb -> Germany, FFM
Сообщений: 47
Ответы:

1) SELECT @@Version
Microsoft SQL Server 2000 - 8.00.2039 (Intel X86) May 3 2005 23:18:38 Copyright (c) 1988-2003 Microsoft Corporation Enterprise Edition on Windows NT 5.2 (Build 3790: )
2) В примере Pubs указан вместо реального имени боевой базы, которое и пытаются подобрать
3) Варианта 2 : а) используют имитацию посылки формы с одной из страниц б) вызывают линк страницы, имеющей код обращенияе к базе. В обоих случаях поочередно на место каждого из параметров втыкают эту конструкцию с "@"

Нужно понять, давать ли нашим программистам задание в срочном порядке добавить дополнительную проверку значения параметров (проверка на соответствие типа имеется).
5 сен 05, 15:08    [1847054]     Ответить | Цитировать Сообщить модератору
 Re: Недокументированное применение @. Кто-то пытается хакнуть сервер.  [new]
GreenSunrise
Member

Откуда:
Сообщений: 12310
А на странице происходит формирование динамического запроса, где и участвует имя базы? Или динамических запросов нет?
5 сен 05, 15:10    [1847065]     Ответить | Цитировать Сообщить модератору
 Re: Недокументированное применение @. Кто-то пытается хакнуть сервер.  [new]
Glory
Member

Откуда:
Сообщений: 104760
Хм. А почему ваш сервер приложений вообще позволяет им отправлять запросы ? Почему сервер приложений авторизовал злоумышленников ?
5 сен 05, 15:11    [1847074]     Ответить | Цитировать Сообщить модератору
 Re: Недокументированное применение @. Кто-то пытается хакнуть сервер.  [new]
Udacha
Member

Откуда: Russia,SPb -> Germany, FFM
Сообщений: 47
> А на странице происходит формирование динамического запроса, где и участвует имя базы?
Да. Но, естественно, получить доступ к коде страницы (просмотр, скачивание) нельзя .
> Хм. А почему ваш сервер приложений вообще позволяет им отправлять запросы ? Почему сервер приложений авторизовал злоумышленников ?
1) Сервер приложения коннектится к базе через аккаунт, имеюший ограниченный набор прав и доступ только к одной из баз.
2) Специальной аутентифицации для посетителей саита нет. Отсылка запросов на просмотр общей информации об объектах идет по http с контролем сессии (для хранения параметров запросов и истории действий). Если сессия теряется, то она пересоздается заново.
Именно на этом участке хакер и долбит.
Если клиент что-то выбрал, то он переходит на https. В этом случае утрата/сбой сессии приводит к возврату в начальное состояние.
5 сен 05, 15:32    [1847196]     Ответить | Цитировать Сообщить модератору
 Re: Недокументированное применение @. Кто-то пытается хакнуть сервер.  [new]
Udacha
Member

Откуда: Russia,SPb -> Germany, FFM
Сообщений: 47
Еще - извиняюсь за "очепятки" - русской клавиатуры нет, набираю текст через перекодировщик
5 сен 05, 15:37    [1847220]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить