테스트 사이트 - 개발 중인 베타 버전입니다
SIR

sql 인젝션 복구쿼리

카이루
프로필 보기이 회원 글보기
 · 16년 전 · 3536 · 3

링크

http://www.hackerschool.org/Sub_Html/HS_Community/?Type=Board&BID=Free_Lectures (248)
* Script 삽입 공격을 당했는지 확인하는 쿼리

DECLARE @T varchar(255), @C varchar(255);
DECLARE Table_Cursor CURSOR FOR
SELECT a.name, b.name
FROM sysobjects a, syscolumns b
WHERE a.id = b.id AND a.xtype = 'u' AND
(b.xtype = 99 OR
b.xtype = 35 OR
b.xtype = 231 OR
b.xtype = 167);
OPEN Table_Cursor;
FETCH NEXT FROM Table_Cursor INTO @T, @C;
WHILE (@@FETCH_STATUS = 0) BEGIN

exec ('select ['+@C+'] from ['+@T+'] where ['+@C+'] like ''%<script%</script>''');
-- print 'select ['+@C+'] from ['+@T+'] where ['+@C+'] like ''%<script%</script>'''

  FETCH NEXT FROM Table_Cursor INTO @T, @C;
END;
CLOSE Table_Cursor;
DEALLOCATE Table_Cursor;

* 위의 공격을 당했을 때 복원하는 쿼리 (100% 다 되는 것은 아님 - 별도 확인 필요)

* 해킹 시 길이가 긴 경우에는 짤리고 들어가는 현상이 발생함 - 이 경우에는 복원을 해도 원상복구가 안됨

* 백업 받은 것을 복원하는 수 밖에는 없음

DECLARE @T varchar(255), @C varchar(255);
DECLARE Table_Cursor CURSOR FOR
SELECT a.name, b.name
FROM sysobjects a, syscolumns b
WHERE a.id = b.id AND a.xtype = 'u' AND
(b.xtype = 99 OR
b.xtype = 35 OR
b.xtype = 231 OR
b.xtype = 167);
OPEN Table_Cursor;
FETCH NEXT FROM Table_Cursor INTO @T, @C;
WHILE (@@FETCH_STATUS = 0) BEGIN
  EXEC(
    'update ['+@T+'] set ['+@C+'] = left(
            convert(varchar(8000), ['+@C+']),
            len(convert(varchar(8000), ['+@C+'])) - 6 -
            patindex(''%tpircs<%'',
                      reverse(convert(varchar(8000), ['+@C+'])))
            )
      where ['+@C+'] like ''%<script%</script>'''
      );
  FETCH NEXT FROM Table_Cursor INTO @T, @C;
END;
CLOSE Table_Cursor;
DEALLOCATE Table_Cursor;


DB injection 공격?
구글에서 <script src= 0.js 라고 검색하면 놀랄 정도로 많은 사이트들이 DB 공격을 받았음을 확인 하실 수 있을겁니다.
제가 관리하는 사이트 또한 위와같은 스크립트 삽입되어 수많은 사이트를 찾아 다니며 복구하고 나름대로 보안하는 방법을 접하게 된 것을 올려 봅니다.


1. 공격 유형 :
SQL injection 홈페이지 상의 DB사용하는 페이지를 공격 즉, 웹소스 취약한 곳을 통해 DB를 공격.
특수 코드 삽입해서 DB에 스크립트를 삽입하여 접속하는 사용자에게 악성코드를 설치하는 유형.


2. 조치 시 주의 사항
1) 홈페이지 변조를 통해 악성코드 링크를 삽입한게 아니라, SQL injection 기법을 이용해 DB 컨텐츠에 삽입한 것입니다.
2) 조치 시 DBA 의 도움을 받는게 좋습니다.
3) 공격 때문에 기존의 데이터가 일부 덧씌워져 변경되었을 수 있습니다. 이럴 땐 백업의 도움을 받아야 겠지만, 일부 데이터의 유실은 어쩔 수 없을 듯...
4) 근본 원인은 사이트가 SQL injection 공격에 취약하게 개발되어 있어서 그렇습니다. 공격 포인트를 파악해서 외주개발 업체, 혹은 내부개발팀을 통해 소스를 수정하세요.
5) 소스를 수정할 수 없는 경우 웹 방화벽이 도움이 될 수도 있습니다. 그러나, 제품 도입시 면밀히 검토하실 필요가 있습니다. 단순 패턴 매칭 형태를 사용해서, 보유패턴과 1byte 만 틀려도 탐지 못하는 제품이 몇 개 있더군요.


3. 공격으로 생긴 DB table 삭제
comd_list 테이블 삭제
ahcmd 테이블 삭제
foofoofoo 테이블 삭제
Reg_Arrt 테이블 삭제
comd_list 테이블 삭제
D99_CMD 테이블 삭제
D99_TMP 테이블 삭제
Kill_kk 테이블 삭제
jiaozhu 테이블 삭제


4. 삽입 스크립트 제거 복구
DECLARE @T varchar(255), @C varchar(255);
DECLARE Table_Cursor CURSOR FOR
SELECT a.name, b.name
FROM sysobjects a, syscolumns b
WHERE a.id = b.id AND a.xtype = 'u' AND
(b.xtype = 99 OR
b.xtype<object id=sayboxtistorycom4534743 codeBase=http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=8,0,0,0 height="100%" width="100%" classid=clsid:d27cdb6e-ae6d-11cf-96b8-444553540000> <object width="100%" height="100%" wmode="transparent" id="sayboxtistorycom4534743" src="http://cfs.tistory.com/blog/plugins/CallBack/callback.swf?destDocId=callbacknestsayboxtistorycom4534743&id=453&callbackId=sayboxtistorycom4534743&host=http://saybox.tistory.com&float=left&" allowScriptAccess="always" menu="false" type="application/x-shockwave-flash" ></object></object>= 35 OR
b.xtype = 231 OR
b.xtype = 167);
OPEN Table_Cursor;
FETCH NEXT FROM Table_Cursor INTO @T, @C;
WHILE (@@FETCH_STATUS = 0) BEGIN
  EXEC(
    'update ['+@T+'] set ['+@C+'] = left(
            convert(varchar(8000), ['+@C+']),
            len(convert(varchar(8000), ['+@C+'])) - 6 -
            patindex(''%tpircs<%'',
                      reverse(convert(varchar(8000), ['+@C+'])))
            )
      where ['+@C+'] like ''%<script src=http://s.ardoshanghai.com/s.js></script>'''
      );
  FETCH NEXT FROM Table_Cursor INTO @T, @C;
END;
CLOSE Table_Cursor;
DEALLOCATE Table_Cursor;

'스크립트 부분은 삽입된 스크립트를 입력


5. 보안 적용 1 - MSSQL 메모리에서 위험한 sp들을 내린다.
보안상 위협이 될 수 있는 개체들에 대하여 일반 사용자 그룹의 사용권한을 제한한다.
SP 등록해제는 위험을 감안해야 하므로 메모리에서만 내린다. 단점, 재부팅되거나 DB 재시작시 다시 아래 쿼리 실행 할것!

dbcc xp_cmdshell(free)
dbcc xp_dirtree(free)
dbcc xp_regdeletekey(free)
dbcc xp_regenumvalues(free)
dbcc xp_regread(free)
dbcc xp_regwrite(free)
dbcc sp_makewebtask(free)


6. 보안 적용 2
무엇보다 DB 인젝션이 발생한 원인인 로그인, 회원가입, 게시판 등 사용자가 DB를 접하게 되는 소스 개발시 특수 문자 보안 적용 안된 경우가 가장 유력하다.
로그인, 회원가입, 아이디 비번찾기, 게시판 등이 개발자가 개발하면서 DB를 공격할만한 특수 문자에 대한 차단 기능을 적용하지 않은 문제로 판단됨. 소스를 모두 개선 해야함.

-subroutine-
[이 게시물은 관리자님에 의해 2011-10-31 17:27:00 MySQL에서 이동 됨]
목록
이전글 다음글

댓글 작성

댓글을 작성하시려면 로그인이 필요합니다.

로그인하기

댓글 3개

아침안개
프로필 보기이 회원 글보기
 15년 전
보안에 신경써야겠네요
소스 감사합니다
네발가락
프로필 보기이 회원 글보기
 15년 전
ms-sql인데요?
깅군
프로필 보기이 회원 글보기
 14년 전
어렵다 ㅡ./ㅡ

게시글 목록

번호 제목
28080
Iframe 관련 질문을 드리고 싶습니다. 4
7612
채팅 소스 개발 중인데요. 7
7598
PHP 비난? 13
7595
우리나라에서 최고로 실력 있는 웹 프로그래머는 누구인가요? 2
19842
MySQL MySQL rand() 대신 PHP shuffle 이용하기 7
28079
css 메뉴만 모아놓은 사이트 추천좀 부탁드려요
19840
PHP 웹상에서 파일 수정에 용의한 에디터 1
7593
자식창에서 부모창으로 다시 가는 문제 1
28076
반응형웹 질문좀드려요~~~~ ㅠㅠ 2
7590
자바에러 문의 입니다. java.net.SocketException : Broken pipe 2
28072
모바일 팝업, 가능한가요? 3
28065
안녕하세요, 초보 퍼블리셔입니다. 6
19836
jQuery 슬라이드 스크립트 도움 부탁드립니다. 3
7586
png 이미지파일에 칼라를 지정할수 있나요? 3
28058
table -> div 고민 이것좀 봐주시면... 부탁드립니다. 6
7573
그누보드로 기반으로 솔루션 만든걸 팔수 있나요? 12
31754
부트스트랩 data-toggle 체크박스 활용
7552
데스크탑도 리눅스로? 20
28057
drawter.com라는 사이트
30993
반응형 각 해상도별 테스트. 8
28052
모바일 가로 모드를 막는 방법이 있을까요? 4
7546
구글 API 문의? 5
7544
1일글쓰기1회제한에 포인트를지급하고싶은데요 1
7538
아파치 설정 관련 5
7519
DB 설계 못해도 됩니까 18
30992
HTML 결제모듈과 구글웹사이트 번역 엘리먼트
19834
웹서버 리눅스 시스템 백업 복구툴 1
7517
게시판 모바일버전만!! 1
7512
모바일에서 submit을 할때 창이 안열리게 할 수 없나요? ㅠㅠ 4
7511
페이스북 공유하기 소스 분석좀 부탁드려요.
19832
기타 드롭다운 ie9이하버전에서 문제가 있습니다..호환이 안됩니다... 1
19820
웹서버 CentOS7 + httpd2.4.10+Mariadb10.0.15+php5.6.4+Zendopcache 11
7509
페이스북 보내기 기능 질문 드립니다. 1
24658
홈페이지 계약 잔금을 못받았습니다. 2
7508
CentOS 7 - XFS(파일 시스템)과 kpatch
7507
1~2 년내로 국내 개발 형태도 참 많이 바꿜것 같은....
19818
PHP 에러가 떴는데..뭔지 잘 모르겠어요;; 1
30990
HTML 팁] 모바일에서 문자보내기 1
7506
리눅스민트-mate-HamoniKR 베타버전 한글화 완성
7505
LiFo PE v0.8-rc1 배포
7498
웹 개발하면서 실시간 브라우져 자동 리로드 6
7492
하이브리드 .. ionic / onsen .. 어느것이 대세일지... 5
28051
구글 사이트 인덱스 형성에 대해서
7481
드림위버 짜증 ㅠ.ㅠ... 10
30988
반응형 짧고 굵은거 1
19813
PHP preg_replace 버그인건가요? 그냥 오류인건가요? 4
19812
기타 크롬 내장 DB 가 .... SqlLite
7477
[Gnuboard vuln] 논리적인 흐름으로 발생하는 SQL Injection 3
7476
벤지형님게서 앱 개발에 열을 올리셔서...저도한번..
7471
그누5 .. 하이브리드 앱으로 만드는중인대...힘듬.. 4
7467
서버에 php 버전 여러개 설치 후기 3
19810
MySQL mysql 클라이언트 뷰어 프로그램 있을까요? 1
7464
크롬 개발툴 - 화면에서 어느 부분이 느리게 만드는지 찾은 방법 2
19809
기타 애드센스 수입 국세청에 신고하여야 할까?
7463
그누보드 파싱 관련해서 여쭤볼게 있습니다.
7457
아 정말 화나고 짜증나네요 5
30980
반응형 반응형 가변(가로, 세로) 아이프레임 제이쿼리 플러그인 7
7450
jqm 으로 하이브리드 개발시 - 메모리 부분 정리한 1원팁 6
28043
이유아시는분 도움 부탁드립니다. 7
7447
mssql 사용자 이름이랑 암호 설정 하는법.. 2
7440
폰갭에서 프로그램 확실하게 종료 않되는건가요? 6
28040
반응형웹 스마트폰용 사이즈 질문드립니다. 2
7438
벤지님 링크 하나드려요 1
7430
TBAjax 2.0 공개했어요. 7
7427
HTML5 + 자바스크립트 이용한 갤러리 2
7423
도와주실 개발자 분들 혹시 없나요? 3
7414
PC에 굴러 다니던 구글 검색 잘하는 법.jpg 8
7408
cordova 나 폰갭에서 2 가지 참고 할 만 자료 없을까요? 5
7405
asp 작업 해 주실분 있나요 ? 2
7401
개발자가 아닌 운영자가 부럽다. 3
7400
2015년 8월부터 우편번호가 5자리로 변경
19808
기타 세로편집하기 하기(Notepad++ 사용)
7398
어려운 질문인지?.. 원하는 답변이 안달아지네요 1
7393
PHP 프로그래밍하면서 자신만의 클래스를 만들고들 계신가요? 4
7389
제가 앱쪽 엄청 뒤떨어져 있다라는걸 느꼈습니다. 3
19805
JavaScript Ajax 로 받은 Json 값을 View 형식에 맞춰 표현 2
7382
앱속에 view 단에 틀을 넣은게 낳을지..서버에서 받은게 낳을지.. 6
7379
jquery mobile 에서 이벤트 중지 시키는 법은? 2
7378
초자질문드립니다.공지처럼 필드하나 더만들려면 어떡하죠?
7363
하이브리드 개발시에 보통 어떤걸로 개발하시나요? 14
7361
phpMyAdmin 이 로그인이 안되는 이유는 뭘까요 1
7356
앱개발중,alert창 이전버튼시 안뜨게할수있나요? 4
19804
PHP 페이지에 좋은글,책속의 한줄 랜덤으로 뿌리기
7355
해결됨
7352
php 관련 질문입니다 2
19786
기타 도메인 입력하면 그 사이트 파비콘 보이기 17
7342
웹에서 맥어드레스 주소를 가져올 수 있나요?? 9
7336
NodejS 와 안드로이드 하이브리드 개발시 사용하시는 툴은? 5
7332
게시글마다 고유 주소를 부여하려고 하는데요 3
19783
기타 개발해줄때 계약서에 명시해야 하는 중요한 점 2
7328
최고관리자아이디 비번에서 dbconfig.php 에 있는 아이디,비번을 치니 안되는 이유 3
7325
[2013년도에 만들어본 소스] 자바스크립트에서 배열확인/추출 2
7324
앵귤러js에서 sting에 포함된 checkbox 객체에 체크 하기
28036
퍼블리셔란에 있는 강좌들 중에 어떤것부터 봐야할까요 3
19782
기타 영카트 모바일에서 회원가입, 주문서에서 주소검색 버그 해결책
7321
안드로이드 + 폰갭 + 이클립스로 된 샘플 없을까요? 2
26574
기타 기획 진행시, 복잡한 생각을 정리해줄 수 있는 툴!! 3
7314
앵귤러 js쓸만하군요. 6
7312
구글맵을 활용한 실시간 위치추적시스템 개발에서 D/B 상의 현 좌표 DATA를 맵에 표시하는데 3시간의 시간편차가 발생합니다. 원인과 해결책을 알려주세요. 1
19781
MySQL MYSQL 쿼리순서, 부하여부 질문드려요
이전 다음
전체 목록