 |
13.05.2008
|
#11 (permalink) |
|
Üyelik Tarihi: 28.03.2003
Yer: İzmir
Yaş: 25
Mesaj: 730
|
Re: Sql Hack
Çağırdığı javascriptlerin içerisinde anlayabildiğim kadarı ile "adodb.stream" ile bir vbs yaratıyor ve bunu çalıştırıyor, yok adodb.stream ile yapamazsa real player, storm player, glavatar (çince chat programıymış) ve bir tanede video on demand yazılımı gibi açıkları bilinen programların varlığını kontrol edip ona göre bir şeyler yapıyor (birinde küfür var mesela çince f..k y.u
 ) soul daha iyi biliyor bu konuları, işin içinde, %99 böyle bir açığın vardır, ama ben %1 olarak düşünüyorum ki sen veya bir yönetici sunucudan bu js nin hali hazırda var olduğu bir siteye girdiniz ve sunucuya bulaştırdınız, o nedenle sordum storm player - stream ile ilgin var mı diye.Aşağıya js linklerini veriyorum IE kullananlar kesin tıklamasın; Spoiler:
Hatırladığın en son saldırıdan sonra inetpub veya herneyse, onun içerisinde, yeni yaratılmış veya değiştirilmiş dosyaları arayıp, bilmediğin/şüphelendiğin bir dosya var mı bakar mısın? Çünkü bu js/vbs ile bir dosya oluşturduğunu ve bu dosya üzerinden SQL servera giriş yaptığını düşünüyorum. soul acaba çok saçma mı bu düşüncem? öyleyse başka şeylere kafa yormak istiyorum
__________________
#siberarena.com | tournament.online Mesaj mow tarafından 13.05.2008 (17:41) yeniden düzenlendi.. |
|
         
|
|
13.05.2008
|
#12 (permalink) |
Üyelik Tarihi: 13.07.2000
Yer: LND
Mesaj: 4,264
|
Re: Sql Hack
Dediklerin sacma degil aslinda, ama bu ataklar son 1-2 aydir suruyor ve hepsi dedigim gibi SQL server ve ASP ve Google uznerinden SQL Injection ile yapiliyor.
Dolayisiyla bunun degisik bir nedeni olmasini beklemiyorum, binlerce sistem bundan etkilendi dolayisiyla ayni kisilerin bu site icin ekstra efor sarfetmelerinin bir mantigi yok. Cunku zaten gunde binlerce siteyi otomatik oalrak hackliyorlar. Eger durum bu olmasaydi zaten olasiliklar cok fazlaydi.
__________________
FERRUH.MAVİTUNA - Okuduklarim You are not your fu*@.' khakis, wait a minute maybe you are... |
|
|
|
|
15.05.2008
|
#13 (permalink) |
|
Üyelik Tarihi: 10.08.2006
Yer: Istanbul
Mesaj: 71
|
Re: Sql Hack
Selam,
Soul a bende katılıyorum, nedeni ise, kimsenin kedisine "kış" demiyoruz veya okadar büyümüş bir site değiliz... Hatta yolun başında bu şekilde sorunlarla karşılaşmamızdan dolayı kendimizi ilyas salmanın sebze arabasının zabıtalar tarafından devrilmesi gibi hissediyoruz.. Belki o filmi hatırlarsınız herkes gibi oda işportacılığa başlar, daha bişey kazanamadan zabıtalarca arabası devrilir )Neyse konuya dönecek olursak, SQL loglarından şu şekilde anlıyoruz, loglara baktığımızda örneğin gece 2 de trusted ile bağlantı gerçekleştirip yatıyoruz, sabah 9 da baktığımızda ise site parçalanmış oluyor.. Tekrar logları açtığımızda, 6-9 arası biri note trusted connection ile aynı kullanıcı ismiyle bağlanmış görüyoruz.. Yani SQL loglarında 02:00 88.255.... sqluser trusted connection yazıyor (sitenin bağlantısı) saat 6 ile 9 arasında yaklaşık 15-20 defa 06:00 211..... sqluser note trusted connection (site bağlantısı deil ama site kullanıcı ile bağlanıyor) ... Bu veritabanını tek bir site kullanıyor... sorun aslında bunda, ve internette varolan tüm SQL injecktionları denedik hiçbirini yemedi site.. Son 2 gündür, saldırmıyorlar ama biz bu hatayı bulmadan rahat edemeyeceğiz.. O yüzden tkrar saldırmaları için nerdeyse dua bile edeceğiz.. |
|
|
|
|
15.05.2008
|
#14 (permalink) |
|
Üyelik Tarihi: 13.07.2000
Yer: LND
Mesaj: 4,264
|
Re: Sql Hack
web loglarina baktiniz mi?
__________________
FERRUH.MAVİTUNA - Okuduklarim You are not your fu*@.' khakis, wait a minute maybe you are... |
|
|
|
 |
| Etiketler |
| guvenlik acigi , hack , mssql , sql , sql hack , sunucu guvenligi , veritabani , veritabani guvenligi |
|
|
Zoque'a hoşgeldiniz!
Zoque RSS Aboneliği
