Injection attack Sql Server

D4Rk0T1k0

Buenas expertos en paginas web de Mediavida. Es mi primer post que abro aquí y veo que teneis un foro muy apañao, enhorabuena.

Mi problema es el siguiente: En estos últimos dias se ha producido un ataque masivo de Injection Attack y una página de las mías está infectada ya que su BD está en SQL SERVER. Borro todos los registros que deja en las tablas de la BD restauro una copia de seguridad con lo que logro erradicar el ataque.
Lo malo es que pasado un tiempo: la misma mañana o en un par de días se me vuelve a colar. Las visitas que tienes son reconducidas a dominios como adw95.com, tag95.com o rundll92.com los cuales te meten malware.
¿Le ha ocurrido esto a alguien? ¿Alguna solución?

cabron

Un ataque 'SQL Injection', se produce por que la programación de la página lo permite, así que realmente lo que llamas una página "infectada", es realmente una página mal hecha.

Si usas algun CMS, actualízalo a la última versión, y si es una página hecha por ti, arregla el código.

Por cierto, ¿estás seguro de que el tipo de ataque es una inyección SQL ? Que te cambien las tablas, no implica que estén haciéndote eso.

SiCk

or 1=1;set password for root=password('nuevopass');
Aparte de parsear y asegurar bien cualquier entrada de datos contra tu (my)sql, lo mejor es crear usuarios de la base de datos apropiados... si usas root para las consultas, con lo que he puesto arriba, te juankean la bd. Luego, probablemente hagan un ping al host y prueben si por 3306 pueden entrar con cualquer gestor de bd. Por lo tanto, crear un usuario con select, insert, update, o incluso uno para select y otro para select, insert, update, pero nunca con acceso root al server. También cambiar el puerto por defecto y configurar el servidor para que sólo pueda ser accesible desde local
Eso a nivel del servidor, evidentemente hoy en todos los lenguajes dan funciones de parseo para evitar estas cosas... y hay muchos manuales e informacion del tema.

Usuarios habituales

  • SiCk
  • cabron
  • D4Rk0T1k0