Teknik, hosting & e-handelsløsninger

Sv.: MS SQL Log file

Sune Christesen — Wed, 21 May 2008 08:33:34 GMT

Comito.dk:
På min egen sqlserver bemærkede jeg i samme tidsrum at en amerikansk ip uden held forsøgte at logge ind via sa kontoen. Det jeg er kommet i tvivl om er om angrebet er sket via en web application eller om det er direkte på sql serveren.

Hvis man har en MSSQL server der lytter på en offentlig IP adresse, så er brute force forsøg på sa kontoen meget almindeligt og det kan derfor være helt tilfældigt at det er sket på samme tid.

Sv.: MS SQL Log file

Comito.dk — Wed, 21 May 2008 05:16:48 GMT

Mange tak for jeres svar.

På min egen sqlserver bemærkede jeg i samme tidsrum at en amerikansk ip uden held forsøgte at logge ind via sa kontoen. Det jeg er kommet i tvivl om er om angrebet er sket via en web application eller om det er direkte på sql serveren.

Sv.: MS SQL Log file

Janus — Tue, 20 May 2008 21:12:17 GMT

Du er sikkert blevet ramt af en afart af den her http://www.computerworld.dk/art/45872?page=1

Det sql injection som den bruger er mere avanceret end blot at sende nogle "UPDATE/DELETE/INSERT" statments, så hvis det er det du har ledt efter i din IIS log, finder du ikke noget.

Hvis du kigger her http://www.modsecurity.org/blog/archives/2008/01/sql_injection_a.html kan du se at angrebet sendes som en CAST af en masse Hex tegn. På den måde undgår de at sende "kendte" tekststrenge som UPDATE, og derved kommer de udenom application firewalls osv.

Jeg syntes dog at jeg har set DECLARE indgå i alle de angreb jeg har observeret, så måske kan du søge efter det i dine IIS logfiler, men der er selvføleglig ingen garantier.

Jeg har ikke specielt gode erfaringer med at spotte SQL injection igennem SQL server loggen, men det kan jo være der er andre der kan komme med nogle fif.

Held og lykke med oprydningen.

Mvh

Janus

Sv.: MS SQL Log file

Frank Nielsen — Tue, 20 May 2008 11:34:38 GMT

Det er meget nemt at checke om man er sårbar over for SQL injections.

Hvis man benytter dynamisk sql (opbygning af sql statements via streng behandling) er det 80% sikkert at man kan blive angrebet via SQL injections.

Hvis man derimod benytter prepared statements eller procedures er man 99% sikker på at undgå dem (det er endnu ikke lykkes mig at finde noget doc. på at det er 100% sikkert - ender med selv at lave den)

Omkring din .ldf fil tror jeg ikke der findes en viewer, har selv ledt for et par år siden (men verden kan jo have ændret sig ;). Det er et proprietært format fra M$....

Sv.: MS SQL Log file

Joachim Lykke Andersen — Mon, 19 May 2008 20:14:42 GMT

Hej,

Hvis der er en reel formodning om, at der er sket en sql injection (hvad er grunden til at i tror der er sket en injection?), så vil jeg råde dig til at være helt sikker på at din kode er i orden - jeg skal gerne prøve det af for dig, hvis du er tvivl. Desuden skal du sikre dig, at der ikke er blivet tilføjet nye logins eller SQL agents osv. Jeg ville også for en sikkerheds skyld lukke det login som blev brugt af den pågældende applikation, og oprette et nyt.

Mht. læsning af LDF, kan du så ikke bare hente ApexSQL Log som har en 30 dage full trial - den er kun begrænset med hensyn til recovery, så hvis du bare skal læse skulle det vel være fint nok til et enkeltstående tilfælde. Kan hentes her: http://www.apexsql.com/downloads.asp#log - jeg har dog ikke prøvet det af.

Ellers prøv dig frem med fn_dblog f.eks.: select * from ::fn_dblog(null, null)

Håber det hjælper.

Mvh. Joachim

MS SQL Log file

Comito.dk — Mon, 19 May 2008 18:56:45 GMT

en af mine kunder har været ude for en sql-injection.

Jeg har tjekket min egen kode igennem og den ser ok ud og jeg kan heller ikke fra iis log se at der er noget vildt. Jeg har fra database hoster fået tilsendt log file(ldf). Er der nogen der evt. kan hjælpe mig med at læse i den - eller er der nogen der kender programmer udover apex/lumigent helst freeware