Tìm nguồn chỉnh sửa SQL hàng loạt định kỳ trên máy chủ

Tôi sẽ cố gắng giải thích vấn đề của tôi rõ ràng nhất có thể.

Máy chủ của một công ty tôi hỗ trợ chạy nhiều trang web. Máy chủ này chạy Windows Server 2012 với Microsoft SQL Server 2014.

Hầu như tất cả các trang web đang chạy một ứng dụng web độc quyền, được thực hiện bởi cùng một công ty.

Chỉ một số trang web bị ảnh hưởng bởi việc chỉnh sửa hàng loạt (hầu hết) mọi trường văn bản, NTEXT và NVARCHAR (MAX) trong cơ sở dữ liệu tương ứng của chúng.

HTML với các liên kết độc hại hoặc spam được thêm vào mọi bản ghi của bảng, chỉ trong trường có loại được chỉ định ở trên.

Máy chủ đã được quét bằng một số công cụ và tất cả mật khẩu chính (quản trị viên, sa của SQL Server) đã được thay đổi. Tôi cũng đã thử chạy SQL Profiler để cố gắng xác định truy vấn cập nhật hàng loạt, nhưng không thành công.

Như tôi có thể tưởng tượng bây giờ, đây có thể là một cuộc tấn công SQL Injection sử dụng lỗ hổng trong phần mềm chạy các trang web đó, nhưng tại sao chỉ có một số trong số chúng? Các trang web khác có cùng phiên bản không bao giờ có vấn đề này.

Như bạn biết, có điều gì khác tôi có thể thử, hoặc tôi đang thiếu? Trả lời mà không có vấn đề nếu bạn có thể cần dữ liệu khác.

SQL Injection khó theo dõi từ phía SQL Server . Thay vì nhìn vào máy chủ sql, bạn nên xem nhật ký IIS của máy chủ web.

Sử dụng Trình phân tích cú pháp để phân tích Nhật ký IIS của bạn để theo dõi nguồn tiêm sql . ví dụ

logparser.exe -i: iisw3c -o: Datagrid -rtp: 100, chọn ngày, thời gian, c-ip, cs-uri-thân, cs-uri-query, time-takes, sc-status từ C: \ wwwlogs \ W3SVCXXX \ u_ex1207 * .log trong đó truy vấn cs-uri như '% khai báo%'

Đọc lên

• SQL Injection - Vấn đề bảo mật nghiêm trọng của Erland Sommarskog
• SQL Injection: Cách thức hoạt động và cách ngăn chặn nó
• Bảo vệ bản thân khỏi SQL Injection trong SQL Server - Phần 1 và Phần 2 từ Aaron Bertrand.

Máy chủ đã được quét bằng một số công cụ và tất cả mật khẩu chính (quản trị viên, sa của SQL Server) đã được thay đổi.

Nếu người dùng tài khoản dịch vụ SQL Server là quản trị viên trên máy cục bộ, thì bạn cần xây dựng một máy mới từ đầu để thay thế nó bằng mật khẩu ngẫu nhiên dài (14 ký tự), sau đó hủy các ổ cứng từ cũ máy móc; không có phần mềm độc hại nào được cài đặt trên đó.

Nếu người dùng tài khoản dịch vụ SQL Server là quản trị viên tên miền, hãy gọi cho chuyên gia bảo mật chuyên nghiệp.

Nếu cả hai điều này đều không đúng và bạn không muốn xây dựng lại từ đầu (bạn nên xây dựng lại từ đầu), hãy lấy SQL Server ngoại tuyến, bỏ mọi người dùng, bỏ mọi đăng nhập, thay đổi mật khẩu SA, sau đó cẩn thận xây dựng lại mỗi đăng nhập và người dùng với mật khẩu ngẫu nhiên dài (14 ký tự cộng).

Sau đó quét sạch mọi công việc đại lý và xây dựng lại từ đầu. Trong khi bạn đang làm điều đó, hãy xây dựng lại (tốt nhất là) hoặc chuyển từng từ trong từng đoạn mã mà mỗi công việc đại lý gọi ... và mọi đoạn dữ liệu nếu bạn có SQL động hoặc được nối và có vấn đề với SQL thứ hai tiêm .

Theo ngụ ý của câu trả lời của Anti-yếu mật khẩu , nếu máy của bạn thực sự đã bị xóa và thay thế được lặp lại, điều đó có thể xảy ra trong một công việc Đại lý hoặc tác vụ theo lịch trình của Windows!