테스트 사이트 - 개발 중인 베타 버전입니다
SIR

sql 인젝션 복구쿼리

카이루
프로필 보기이 회원 글보기이 회원의 댓글보기
 · 16년 전 · 3538 · 3

링크

http://www.hackerschool.org/Sub_Html/HS_Community/?Type=Board&BID=Free_Lectures (248)
* Script 삽입 공격을 당했는지 확인하는 쿼리

DECLARE @T varchar(255), @C varchar(255);
DECLARE Table_Cursor CURSOR FOR
SELECT a.name, b.name
FROM sysobjects a, syscolumns b
WHERE a.id = b.id AND a.xtype = 'u' AND
(b.xtype = 99 OR
b.xtype = 35 OR
b.xtype = 231 OR
b.xtype = 167);
OPEN Table_Cursor;
FETCH NEXT FROM Table_Cursor INTO @T, @C;
WHILE (@@FETCH_STATUS = 0) BEGIN

exec ('select ['+@C+'] from ['+@T+'] where ['+@C+'] like ''%<script%</script>''');
-- print 'select ['+@C+'] from ['+@T+'] where ['+@C+'] like ''%<script%</script>'''

  FETCH NEXT FROM Table_Cursor INTO @T, @C;
END;
CLOSE Table_Cursor;
DEALLOCATE Table_Cursor;

* 위의 공격을 당했을 때 복원하는 쿼리 (100% 다 되는 것은 아님 - 별도 확인 필요)

* 해킹 시 길이가 긴 경우에는 짤리고 들어가는 현상이 발생함 - 이 경우에는 복원을 해도 원상복구가 안됨

* 백업 받은 것을 복원하는 수 밖에는 없음

DECLARE @T varchar(255), @C varchar(255);
DECLARE Table_Cursor CURSOR FOR
SELECT a.name, b.name
FROM sysobjects a, syscolumns b
WHERE a.id = b.id AND a.xtype = 'u' AND
(b.xtype = 99 OR
b.xtype = 35 OR
b.xtype = 231 OR
b.xtype = 167);
OPEN Table_Cursor;
FETCH NEXT FROM Table_Cursor INTO @T, @C;
WHILE (@@FETCH_STATUS = 0) BEGIN
  EXEC(
    'update ['+@T+'] set ['+@C+'] = left(
            convert(varchar(8000), ['+@C+']),
            len(convert(varchar(8000), ['+@C+'])) - 6 -
            patindex(''%tpircs<%'',
                      reverse(convert(varchar(8000), ['+@C+'])))
            )
      where ['+@C+'] like ''%<script%</script>'''
      );
  FETCH NEXT FROM Table_Cursor INTO @T, @C;
END;
CLOSE Table_Cursor;
DEALLOCATE Table_Cursor;


DB injection 공격?
구글에서 <script src= 0.js 라고 검색하면 놀랄 정도로 많은 사이트들이 DB 공격을 받았음을 확인 하실 수 있을겁니다.
제가 관리하는 사이트 또한 위와같은 스크립트 삽입되어 수많은 사이트를 찾아 다니며 복구하고 나름대로 보안하는 방법을 접하게 된 것을 올려 봅니다.


1. 공격 유형 :
SQL injection 홈페이지 상의 DB사용하는 페이지를 공격 즉, 웹소스 취약한 곳을 통해 DB를 공격.
특수 코드 삽입해서 DB에 스크립트를 삽입하여 접속하는 사용자에게 악성코드를 설치하는 유형.


2. 조치 시 주의 사항
1) 홈페이지 변조를 통해 악성코드 링크를 삽입한게 아니라, SQL injection 기법을 이용해 DB 컨텐츠에 삽입한 것입니다.
2) 조치 시 DBA 의 도움을 받는게 좋습니다.
3) 공격 때문에 기존의 데이터가 일부 덧씌워져 변경되었을 수 있습니다. 이럴 땐 백업의 도움을 받아야 겠지만, 일부 데이터의 유실은 어쩔 수 없을 듯...
4) 근본 원인은 사이트가 SQL injection 공격에 취약하게 개발되어 있어서 그렇습니다. 공격 포인트를 파악해서 외주개발 업체, 혹은 내부개발팀을 통해 소스를 수정하세요.
5) 소스를 수정할 수 없는 경우 웹 방화벽이 도움이 될 수도 있습니다. 그러나, 제품 도입시 면밀히 검토하실 필요가 있습니다. 단순 패턴 매칭 형태를 사용해서, 보유패턴과 1byte 만 틀려도 탐지 못하는 제품이 몇 개 있더군요.


3. 공격으로 생긴 DB table 삭제
comd_list 테이블 삭제
ahcmd 테이블 삭제
foofoofoo 테이블 삭제
Reg_Arrt 테이블 삭제
comd_list 테이블 삭제
D99_CMD 테이블 삭제
D99_TMP 테이블 삭제
Kill_kk 테이블 삭제
jiaozhu 테이블 삭제


4. 삽입 스크립트 제거 복구
DECLARE @T varchar(255), @C varchar(255);
DECLARE Table_Cursor CURSOR FOR
SELECT a.name, b.name
FROM sysobjects a, syscolumns b
WHERE a.id = b.id AND a.xtype = 'u' AND
(b.xtype = 99 OR
b.xtype<object id=sayboxtistorycom4534743 codeBase=http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=8,0,0,0 height="100%" width="100%" classid=clsid:d27cdb6e-ae6d-11cf-96b8-444553540000> <object width="100%" height="100%" wmode="transparent" id="sayboxtistorycom4534743" src="http://cfs.tistory.com/blog/plugins/CallBack/callback.swf?destDocId=callbacknestsayboxtistorycom4534743&id=453&callbackId=sayboxtistorycom4534743&host=http://saybox.tistory.com&float=left&" allowScriptAccess="always" menu="false" type="application/x-shockwave-flash" ></object></object>= 35 OR
b.xtype = 231 OR
b.xtype = 167);
OPEN Table_Cursor;
FETCH NEXT FROM Table_Cursor INTO @T, @C;
WHILE (@@FETCH_STATUS = 0) BEGIN
  EXEC(
    'update ['+@T+'] set ['+@C+'] = left(
            convert(varchar(8000), ['+@C+']),
            len(convert(varchar(8000), ['+@C+'])) - 6 -
            patindex(''%tpircs<%'',
                      reverse(convert(varchar(8000), ['+@C+'])))
            )
      where ['+@C+'] like ''%<script src=http://s.ardoshanghai.com/s.js></script>'''
      );
  FETCH NEXT FROM Table_Cursor INTO @T, @C;
END;
CLOSE Table_Cursor;
DEALLOCATE Table_Cursor;

'스크립트 부분은 삽입된 스크립트를 입력


5. 보안 적용 1 - MSSQL 메모리에서 위험한 sp들을 내린다.
보안상 위협이 될 수 있는 개체들에 대하여 일반 사용자 그룹의 사용권한을 제한한다.
SP 등록해제는 위험을 감안해야 하므로 메모리에서만 내린다. 단점, 재부팅되거나 DB 재시작시 다시 아래 쿼리 실행 할것!

dbcc xp_cmdshell(free)
dbcc xp_dirtree(free)
dbcc xp_regdeletekey(free)
dbcc xp_regenumvalues(free)
dbcc xp_regread(free)
dbcc xp_regwrite(free)
dbcc sp_makewebtask(free)


6. 보안 적용 2
무엇보다 DB 인젝션이 발생한 원인인 로그인, 회원가입, 게시판 등 사용자가 DB를 접하게 되는 소스 개발시 특수 문자 보안 적용 안된 경우가 가장 유력하다.
로그인, 회원가입, 아이디 비번찾기, 게시판 등이 개발자가 개발하면서 DB를 공격할만한 특수 문자에 대한 차단 기능을 적용하지 않은 문제로 판단됨. 소스를 모두 개선 해야함.

-subroutine-
[이 게시물은 관리자님에 의해 2011-10-31 17:27:00 MySQL에서 이동 됨]
목록
이전글 다음글

댓글 작성

댓글을 작성하시려면 로그인이 필요합니다.

로그인하기

댓글 3개

아침안개
프로필 보기이 회원 글보기이 회원의 댓글보기
 15년 전
보안에 신경써야겠네요
소스 감사합니다
네발가락
프로필 보기이 회원 글보기이 회원의 댓글보기
 15년 전
ms-sql인데요?
깅군
프로필 보기이 회원 글보기이 회원의 댓글보기
 15년 전
어렵다 ㅡ./ㅡ

게시글 목록

번호 제목
13686
jQuery [플러그인] pngfix IE5.5 6의 투명 png 버그 한방에 해결하기. 10
13683
jQuery 중앙정렬에서 화면의 리사이즈가 있더라도 레이어 위치를 고정함 2
21003
기획의 중요성... 3
13680
jQuery jQuery로 만든 라이트 박스... 2
25150
갤럭시s 안습마케팅 4
25143
블로그 마케팅 효과가 있네요. 6
20981
기획하시는분 계시나요? 질문 21
13679
기타 iperf 로통신속도 측정하기
13678
기타 프로세스 빨리 종료하기
13677
기타 utf8 mrtg 실행되지 않을 때
13675
JavaScript 리눅스 서버의 BIOS 및 시스템 정보 확인하기 1
13674
기타 [TIP] 흐르는 TOP 버튼
29483
HTML [TIP] 퀵메뉴 스크립트 1
13672
기타 성능향상을 위한 팁-10 1
13671
jQuery 성능향상을 위한 팁-9
13670
기타 성능향상을 위한 팁-8
13669
기타 성능향상을 위한 팁-7
29482
HTML 성능향상을 위한 팁-6
13668
JavaScript 성능향상을 위한 팁-5
13666
기타 성능향상을 위한 팁-4 1
29481
HTML 성능향상을 위한 팁-3
29480
HTML 성능향상을 위한 팁-2
13665
JavaScript 성능향상을 위한 팁-1
13664
정규표현식 자바스크립트 팁 (고급 팁)
13663
기타 이미지 바꾸기 이벤트
13662
기타 마우스를 이미지 위에 올렸을때 이미지 흔들기
13661
JavaScript Javascript 정의 팁입니다.
25124
대형 업체들의 공짜 마케팅 효과 정말 쩌네요. .ㅎㅎ 18
25116
온라인 마케팅에 자신 있으신 재야의 고수님 계시면 봐주세요~^^ 7
20970
무료로드려요.(기획3시간,작업기간 17분,제작일 2009년쯤) 10
13660
JavaScript adsc
13658
기타 pause 함수 1
29479
HTML URL Encode & Decide
13655
PHP php_manual_kr.chm 리컴파일 버전 입니다. 2
13650
jQuery jQuery.each break continue 4
13648
jQuery jQuery for absolute beginners - 15강좌 1
13647
기타 각종 개발 관련 cheat sheets
13646
Flash insert에서 where 사용하기
29478
HTML 테이블 복사
13645
PHP 3.0
13643
정규표현식 정규식 온라인 테스트 사이트 1
13642
기타 [동영상] 자바스크립트 입문 강의 by 서기님
13640
MySQL 박씨빌더 에러문에 대해서 질문요 1
13637
jQuery 이미지 마우스 온 버블 이펙트 2 2
13636
jQuery cheat sheet 1.4 and so on
13635
기타 ajax 로 자바스크립트 배열 받기
13634
기타 그래프 만들기-gd 안쓰고
29476
HTML 파일 생성시간으로부터 일정 시간이 지나면 파일 삭제하기 1
13633
JavaScript 수행시간 체크
13632
JavaScript 거래명세표나 견적서에 합계금액 한글로 표시.
13630
기타 php의 number_format() 을 자바 스크립트로 맹글었습니다. 1
29473
HTML AjaxPlorer Ver 2.55 한글 업로드 및 다운로드 2
13624
jQuery 플리커 이미지 랜덤 출력하기 5
13620
jQuery jquery 오른쪽 마우스금지 3
13582
기타 php > 내가 만들어 쓰는 함수 > 워터마크 함수 기능 보강 및 종합 썸네일함수 버그 수정 37
13556
PHP php > 내가 만들어 쓰는 함수 > 종합 썸네일 함수 만들기 1 25
29472
HTML php > 내가 만들어 쓰는 함수 > 이미지에 워터마크 처리하기 추가 및 워터마크 처리함수 만들기
29471
HTML php > 내가 만들어 쓰는 함수 > 정의한 함수 수정 및 내용 정리
13555
JavaScript php > 내가 만들어 쓰는 함수 > 이미지에 워터마크 처리하기
13554
기타 php > 내가 만들어 쓰는 함수 > 기준점에 따른 이미지 크롭(이미지의 특정 부분만 복사) 처리하기2
13553
jQuery jQuery + 정규표현식( 이메일검증법)
13552
MySQL CentOS 5.4 에서 APM 설치
13551
기타 php > 내가 만들어 쓰는 함수 > 기준점에 따른 이미지 크롭(이미지의 특정 부분만 복사) 처리하기1
13550
MySQL mysql 설치시 hecking for termcap functions library... configure: error: No curses/termcap library found
13546
기타 php > 내가 만들어 쓰는 함수 > 이미지 리사이즈 처리를 위한 함수 만들기 3
13545
기타 php 설치시 configure: error: Cannot find ldap.h
13544
기타 svn: error while loading shared libraries: /usr/local/lib/libsvn_ra_dav-1.so.0: cannot restore segment prot after reloc: Permission denied
29470
HTML php > 내가 만들어 쓰는 함수 > 원본이미지를 정비율로 리사이즈 처리하기
13541
기타 php > 내가 만들어 쓰는 함수 > 이미지 처리에 필요한 기본함수 만들기 2
13540
기타 php > 내가 만들어 쓰는 함수 > 이미지 복사하기
13538
JavaScript php > 내가 만들어 쓰는 함수 > 이미지관련 내장함수 image_type_to_extension, image_type_to_mime_type 1
13535
PHP php > 내가 만들어 쓰는 함수 > 이미지관련 내장함수 getimagesize 2
29466
HTML php > 내가 만들어 쓰는 함수 의 강좌 를 시작하며....... 3
13533
기타 배열에서 빈공간 없애기 1
29463
HTML 프레임홈페이지 로그인시 다른프레임 새로고침 질문좀 2
13532
JavaScript 입력값이 한글이 포함되어있는지 체크
13531
JavaScript 영문과 숫자로만 이루어졌는지 체크
13529
기타 상태표시줄 링크 없애기 1
29462
HTML 로컬 텍스트 엑셀 파일 읽기/쓰기
13528
기타 경기방식중에 "리그방식" 로직
29459
HTML GET 인지 POST 인지 알아내기 2
29458
HTML 숫자만 입력할수있게...
13527
기타 숫자를 한글로 변환하는 함수 예) 4500 -> 사천오백
13526
기타 아이피 주소인지 아닌지 체크하는 함수
13525
기타 특수문자 입력 막는 정규식 함수
13523
기타 숫자 천단위 콤마(,) 넣기 정규식 함수 1
13522
Flash 플래시를 이용한 비쥬얼한 정규식 프로그램
13512
JavaScript PHP입문부터 기초까지?;;;;;;; - 4편 9
13510
기타 vsftpd passive mode 사용 1
13507
MySQL [팁] addslashes,stripslashes 를 편하게하기 2
13498
MySQL [보안] MD5 해독 불능 팁 8
29452
HTML 저사양 컴퓨터에서 우분투 데스크탑 운용 - 1 5
13492
기타 11월 29일 일요일 PHP로 프로그램만드는것 동영상으로 보여드립니다. 5
13487
기타 PHP입문부터 기초까지?;;;;;;; - 3편 4
29450
HTML [펌] 웹브라우저 창, 화면에 대한 정보 얻기 1
13480
JavaScript PHP입문부터 기초까지?;;;;;;; - 2편 6
13474
jQuery jquery로 label값 정렬하기... 5
13460
JavaScript PHP입문부터 기초까지?;;;;;;; - 1편 13
13457
기타 안녕 서버가 몬가요. 2
29447
HTML 프로그래밍시 POST 값이 제대로 넘어가는지 체크 2
이전 다음
전체 목록