Каморка

болезнь такая появилась в базе данных. какие-то нахалы напихали туда ненужных слов (html) типа: chlamidia symptom, text spy software и т.д., но сделали их невидимыми (display=none). задето 7-8 таблиц и колонки с простыми названиями типа description, title, message. сделали что-то типа:

update table
set description = description + 'chlamydia symptom' + 'ссылочка на веб-сайт'
where = ?

где может быть дырочка? и как-такое делается? думаю, что это ну через форму (sql injection) потому, что слова все время разные. скорее service. вот сижу лог проверяю. скучно.

Ну не фига-ж себе, дырочка... это дырища-таки...

Marmot писал(а):Ну не фига-ж себе, дырочка... это дырища-таки...

Если база через веб аппликуху имеет выход в инет, то ребятки могли получить доступ к конфиг файлу, оттуда взяли строку подключения к базе с юзернеймом и паролем.
Причем юзернейм похоже с такими правами, что в базе может творить что хочет.

Микрософт рекомендует, что в строке подключения должен быть юзернейм с такими правами доступа, что на уровне базы может только запускать стор процедуры, и больше ничего.

A вообще, апликуха самодельная или опенсоурс какой-нибудь?

Marmot писал(а):A вообще, апликуха самодельная или опенсоурс какой-нибудь?

даже мне ясно самодельная пропрайотари
Пропрайтотари енд оф лайф симптом

mikei писал(а):

Marmot писал(а):A вообще, апликуха самодельная или опенсоурс какой-нибудь?

даже мне ясно самодельная пропрайотари
Пропрайтотари енд оф лайф симптом

IMHO лезть в самоделку, что бы туда вставить какую-то хламиду - овчинка выделки не стоит... а вот если это известная поделка, тогда скорее всего мы наблюдаем drive-by shooting...

сегодня прошерстил лог на хламидию, нашел несколько запросов к asp-classic страничкам, где в query string зашито прямым текстом: прочитать все базы данных, таблицы, колонки и обновить кое-что... может, конечно, кто-то развлекается, но жто не работает. завтра посмотрю по-внимательнее. все таки старый asp легче хакнуть, чем asp.net или mvc.

не совсем понятно как можно прочитать web.config, если не backup, конечно.

и почему это дырища, а не дырочка? "достаточно одной таблетки", чтобы пробежаться по всем таблицам и изменить description field. были задеты временные таблицы, которые в приложении, вообще, не учавствуют. очевидно, что цикл по всем таблицам с очевидными колонками

eprst писал(а):и почему это дырища, а не дырочка?

Ну я не знаю, чего вы там делаете, но у вас дело пахнет XSS-ом со всеми вытекающими для ваших юзеров последствиями.
Ну и полный увод базы просматривается.

Marmot писал(а):

eprst писал(а):и почему это дырища, а не дырочка?

Ну я не знаю, чего вы там делаете, но у вас дело пахнет XSS-ом со всеми вытекающими для ваших юзеров последствиями.
Ну и полный увод базы просматривается.

наши действия? менять пароли/явки? или искать и латать?

Marmot писал(а):

mikei писал(а):

Marmot писал(а):A вообще, апликуха самодельная или опенсоурс какой-нибудь?

даже мне ясно самодельная пропрайотари
Пропрайтотари енд оф лайф симптом

IMHO лезть в самоделку, что бы туда вставить какую-то хламиду - овчинка выделки не стоит... а вот если это известная поделка, тогда скорее всего мы наблюдаем drive-by shooting...

Тема не раскрыта что в самоделке. Может там кошелек на переднем сиденье лежит.

mikei писал(а):

Marmot писал(а):

mikei писал(а):

Marmot писал(а):A вообще, апликуха самодельная или опенсоурс какой-нибудь?

даже мне ясно самодельная пропрайотари
Пропрайтотари енд оф лайф симптом

IMHO лезть в самоделку, что бы туда вставить какую-то хламиду - овчинка выделки не стоит... а вот если это известная поделка, тогда скорее всего мы наблюдаем drive-by shooting...

Тема не раскрыта что в самоделке. Может там кошелек на переднем сиденье лежит.

Тогда нафига хламидия?

eprst писал(а):

Marmot писал(а):

eprst писал(а):и почему это дырища, а не дырочка?

Ну я не знаю, чего вы там делаете, но у вас дело пахнет XSS-ом со всеми вытекающими для ваших юзеров последствиями.
Ну и полный увод базы просматривается.

наши действия? менять пароли/явки? или искать и латать?

Все вместе... не знаю, что у вас за бизнес, но у нас бы сейчас вся верхушка компании стояла на рогах, безопасники бы делали низкоуровневые копии всех дисков... а хардкорные девы и остальные безопасники искали бы дыру.
Логи шерстить в первую очередь, разумеется...

eprst писал(а): не совсем понятно как можно прочитать web.config

Не знаю, я не хакер.
Понятно, что надо как-то ломануть IIS, ну а дальше все просто.
Есть 2 пути защититься от прочтения web.config.
1. Как я сказал раньше, дать такие права доступа на подключение к базе, что юзер может только запускать стор.процедуры. Очевидно, это не работает если в базу посылаются динамические квери. В этом случае все равно полезно уменьшить права, например, запретить делать DDL и оставить только DML в минимально допустимом наборе.
2. Зашифровать блок web.config с коннекшн строкой. При первом прочтении блок расшифровывается и строка подключения хранится в памяти. На ASP.NET это всего пару строк кода, на классик ASP даже не знаю, уж очень древняя система.

Marmot писал(а):Ну не фига-ж себе, дырочка... это дырища-таки...

метр на метр, как окно в лавке продовольственной (с)

eprst писал(а):болезнь такая появилась в базе данных. какие-то нахалы напихали туда ненужных слов (html) типа: chlamidia symptom, text spy software и т.д., но сделали их невидимыми (display=none). задето 7-8 таблиц и колонки с простыми названиями типа description, title, message. сделали что-то типа:
update table
set description = description + 'chlamydia symptom' + 'ссылочка на веб-сайт'
where = ?
где может быть дырочка? и как-такое делается? думаю, что это ну через форму (sql injection) потому, что слова все время разные. скорее service. вот сижу лог проверяю. скучно.

Типичная SQL injection. Проверять надо не логи, а код.
http://www.acunetix.com/vulnerability-s ... on-scanner

Как это делается:
https://technet.microsoft.com/en-us/lib ... 05%29.aspx