Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 Поучительная история по секурити и вопрос  [new]
_Pav
Guest
Это может быть офф топик но может быть кому то интересно как сломали мой сервер.
Жил себе SQL+IIS за файерволом, вроде было все ок в течении 2 лет. Все хорошо работало. И тут получаю письмо от админов что с моего сервера хакают кого то.
Искал пару часов пока наконец не нашел процесс SQlCl.exe запиленный в скрытую папку System Volume Information. Дал на нее права себе, открыл, там 447 мегобайт логов. Хакали scan500.exe и у них еще был 23 мгб файл с паролями! За несколько дней они нарыли 2 сервера с простыми паролями, все это дело в у них в логах было. Попробовал, закконектился к сервакам по sa и данным паролям - все работает. Напишу им письма сейчас.
Теперь у меня вопрос к публике - как они меня похакали?
Вот мой сценарий.
1. Админы забыли закрыть 1433.
3. Ломятся к серверу,переберают пароли к sa.
4. Находят пароль, cmd_execute как то используют что ли. Как они кладут файлы на сервер? тем более в System Volume Information?
Есть идеи?
10 ноя 05, 05:24    [2053888]     Ответить | Цитировать Сообщить модератору
 Re: Поучительная история по секурити и вопрос  [new]
Timon
Member

Откуда: Dushanbe TJK
Сообщений: 2688
Моя история немного типа такаяже.

Уставил я секьюрити аудит на SUCCESS и FAILD. Через неделю смотри в логах подряд с интервалом в секунду сообщения "Login faild for user sa", хорошо что пароль на этого sa я сделал из 16-ти знаков включая разные мисволы и цифры.
Аж с 7-и хостов подбарли пароли.
Но от греха по дальше, поменяли порт 1433 на другой. Пока тишина.
Как говориться на ошибках учаться, но почемуто все учаться на своих ошибках.

автор
4. Находят пароль, cmd_execute как то используют что ли. Как они кладут файлы на сервер? тем более в System Volume Information?
Есть идеи?

А вот чтобы такого не делали, службу SQL Servera запускают под своеё урезанной учетной записью, но не под административной и системной.

Из сказанного выше лично я для себя взял за правило:
1. Делать длинный пароль на sa с символами и цифрами (чем извращенней тем лучше)
2. Менять стандарный порт 1433 на какой нить другой
3. Запускать SQL Server по урезанной в правах учетной записью.
Об этих правилах везде написано в книжнка, но ещё раз повторюсь, многие учаться на своих ошибках.
10 ноя 05, 06:30    [2053901]     Ответить | Цитировать Сообщить модератору
 Re: Поучительная история по секурити и вопрос  [new]
aleks2
Guest
_Pav
Это может быть офф топик но может быть кому то интересно как сломали мой сервер.
Жил себе SQL+IIS за файерволом, вроде было все ок в течении 2 лет. Все хорошо работало. И тут получаю письмо от админов что с моего сервера хакают кого то.
Искал пару часов пока наконец не нашел процесс SQlCl.exe запиленный в скрытую папку System Volume Information. Дал на нее права себе, открыл, там 447 мегобайт логов. Хакали scan500.exe и у них еще был 23 мгб файл с паролями! За несколько дней они нарыли 2 сервера с простыми паролями, все это дело в у них в логах было. Попробовал, закконектился к сервакам по sa и данным паролям - все работает. Напишу им письма сейчас.
Теперь у меня вопрос к публике - как они меня похакали?
Вот мой сценарий.
1. Админы забыли закрыть 1433.
3. Ломятся к серверу,переберают пароли к sa.
4. Находят пароль, cmd_execute как то используют что ли. 1) Как они кладут файлы на сервер? 2) тем более в System Volume Information?
Есть идеи?


1) Как все, например через ADODB.Stream.
2) Зачем спрашивать очевидное: небось SQL сервер под правами Local System работает, так для нее (Local System) System Volume Information вполне даже доступная папочка.
10 ноя 05, 07:12    [2053913]     Ответить | Цитировать Сообщить модератору
 Re: Поучительная история по секурити и вопрос  [new]
Crimean
Member

Откуда:
Сообщений: 13148
> Админы забыли закрыть 1433

дальше можно не искать
это не дыра, это дырища
10 ноя 05, 12:12    [2055102]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить