Como faço para relatar ataques de injeção de SQL (por exemplo, para o ISP do usuário)?

3

EDIT: Desculpe, minha pergunta claramente não estava clara. Não quero relatar tentativas de ataques a servidores internamente; nós já temos sistemas que registram. registrar e relatar essa atividade.

O que eu estava ansioso para fazer era denunciar os ataques ao ISP do perpetrador ou algo assim.

Pergunta original:

Nossos sites são imunes à Injeção de SQL (AFAIK!), mas é claro que ainda somos segmentados regularmente.

Existe alguma maneira de automatizar o relatório de tentativas de ataque - pesquisa inversa de DNS, etc.?

Embora eu ache que valha a pena se, no geral, estivesse fazendo um favor à comunidade.

Idem eu suponho que para todos os outros ataques que vemos - sondando para BBS bem abertos, MySQL, PHPAdmin, etc.

    
por Kristen 16.10.2009 / 12:17

6 respostas

4

Doe seus registros para SANS ! Eles têm um cliente para a maioria dos firewalls que puxam os logs e os enviam para o banco de dados do DShield.

    
por 16.10.2009 / 13:18
3

Todos os outros entenderam outra coisa ou eu, mas pelo que entendi você está tentando denunciar as pessoas que estão tentando injetar SQL em seus ISPs.

Isso geralmente será um beco sem saída, e é melhor bloquear apenas os usuários que tentam os ataques, já que a maioria das máquinas que executam ataques não são geralmente de propriedade do 'hacker' e, em vez disso, podem ser máquinas comprometidas ou alguém abusar de um site que oferece varreduras de vulnerabilidades gratuitas ou algo semelhante.

    
por 16.10.2009 / 12:54
1

A maioria dos ISPs tem um endereço de e-mail [email protected] para relatar essas coisas. Se você puder reverter o nome do ISP do IP, eu enviaria as informações lá.

    
por 16.10.2009 / 17:27
0

Por injeção de SQL a partir de sites, eu entendo: (a) você tem alguns formulários web, (b) há um SQL back-end, (c) você usa métodos que impedem que a entrada do usuário seja interpretada erroneamente como SQL ( consultas parametrizadas, etc.)

Mas você ainda gostaria de detectar tentativas de injeção de SQL. Ok.

Uma das maneiras padrão de tentar a injeção de SQL é investigar procurando um campo de entrada que seja incorporado a uma consulta SQL usando a inserção de cadeia de caracteres. Por exemplo:

snprintf(buf, dimensionof(buf), "SELECT calory_limit FROM user_diets WHERE user_firstname='%s' AND user_surname='%s'", firstname, surname);

Onde surname e firstname são entradas não filtradas de um formulário da web. Neste exemplo, um usuário pode fornecer o nome nome = Johnny' , sobrenome = '-';DROP DATABASE;--

O sprintf resultaria em:

SELECT calory_limit FROM user_diets WHERE user_firstname='Johnny'' AND user_surname=''-';DROP DATABASE;--'

Como '' (duas aspas simples) no SQL é interpretado como um escape 'que é parte da string, nós temos' quebrado 'o delimitador de string na declaração original pretendida. Isso nos permite converter o que mais tarde deveria ter sido string, sobrenome , em comando.

Em suma, procure pessoas inserindo campos que:

  • Termine com uma marca de aspas simples
  • Comece com uma marca de aspas simples
  • Contém um "-" próximo ou no final (O propósito de agrupar as cargas de ataque com um delimitador de comentário SQL é que, sem isso, a distorção da consulta pretendida pelo invasor poderia deixar alguns bits de comando inseparáveis no final. Estes podem gerar uma mensagem de erro para um log e alertá-lo.)

Além disso, você pode considerar as mesmas heurísticas após, por exemplo, UTF-8 decodificando a entrada. Ou UTF-8 decodificando-o duas vezes. O testador de penetração estará pensando em erros que possam estar no seu código, então eles tentarão entradas que parecem não fazer sentido - como aspas duplas codificadas com UTF-8 duas vezes.

Além disso, procure " e outras sequências de entidades HTML.

Você pode pesquisar em arxiv.org e encontrar alguns documentos que detalham certos tipos de ataques específicos: scripts entre sites, injeção de SQL, modificação de URL. Lendo alguns documentos, você será levado a mais.

    
por 16.10.2009 / 12:31
0

Jogando advogado dos diabos, é quase sempre inútil desperdiçar seu tempo relatando essas máquinas. A maioria dos ataques vem de máquinas zumbis que o usuário não tem idéia está ocorrendo. Assim, mesmo que você os comunique ao seu ISP e seu ISP corta sua conexão até que eles tenham sua máquina limpa, eles provavelmente acabarão infectados novamente mais tarde ou mesmo se não o fato de você ter removido uma máquina zumbi da Internet é um realização sem sentido.

A única vez que eu diria que vale a pena relatar essas tentativas é se a máquina faz parte de uma rede hospedada como ThePlanet. Tirar um servidor comprometido da Internet é um grande problema, especialmente porque o proprietário do servidor pode nem perceber que está comprometido. A outra diferença é a escala de ataques que o servidor é capaz de fazer em comparação com o pc em casa.

    
por 19.10.2009 / 16:26
-2

O afrinic.net, o apnic.net, o arin.net, o jpnic.net, o krnic.net, o lacnic.net, o ripe.net ou o twnic.net têm sites que você pode realizar uma pesquisa whois. Eu normalmente começo com o NIC americano. Você também pode baixar um cliente whois. Eu uso o GNU JWHOIS . Está certo. Além disso, também é possível obter algumas informações usando um comando PING -a -n 1 . Por exemplo: 6.127.6.109.rev.sfr.net

    
por 14.12.2017 / 02:40

Tags