Hov. Du er ikke logget ind.
DU SKAL VÆRE LOGGET IND, FOR AT INTERAGERE PÅ DENNE SIDE
Log Ind

MS SQL Log file

Side 1 ud af 1 (6 indlæg)
  • 1
Fra Ringe
Tilmeldt 21. Jun 07
Indlæg ialt: 165
Skrevet kl. 20:56
Hvor mange stjerner giver du? :

en af mine kunder har været ude for en sql-injection.

Jeg har tjekket min egen kode igennem og den ser ok ud og jeg kan heller ikke fra iis log se at der er noget vildt. Jeg har fra database hoster fået tilsendt log file(ldf). Er der nogen der evt. kan hjælpe mig med at læse i den - eller er der nogen der kender programmer udover apex/lumigent helst freeware Smile

 

Keld Jakobsen Comito.dk Fra Kompleks Ide Til Intelligent Løsning

Fra Odense
Tilmeldt 28. Jul 07
Indlæg ialt: 278
Fra  Tankefuld Skrevet kl. 22:14
Hvor mange stjerner giver du? :

Hej,

Hvis der er en reel formodning om, at der er sket en sql injection (hvad er grunden til at i tror der er sket en injection?), så vil jeg råde dig til at være helt sikker på at din kode er i orden - jeg skal gerne prøve det af for dig, hvis du er tvivl. Desuden skal du sikre dig, at der ikke er blivet tilføjet nye logins eller SQL agents osv. Jeg ville også for en sikkerheds skyld lukke det login som blev brugt af den pågældende applikation, og oprette et nyt.

Mht. læsning af LDF, kan du så ikke bare hente ApexSQL Log som har en 30 dage full trial - den er kun begrænset med hensyn til recovery, så hvis du bare skal læse skulle det vel være fint nok til et enkeltstående tilfælde. Kan hentes her: http://www.apexsql.com/downloads.asp#log  - jeg har dog ikke prøvet det af.

Ellers prøv dig frem med fn_dblog f.eks.: select * from ::fn_dblog(null, null)

Håber det hjælper. 

Mvh. Joachim

Mvh. Joachim Lykke Andersen

Fra Søborg
Tilmeldt 31. Dec 05
Indlæg ialt: 88
Skrevet kl. 13:34
Hvor mange stjerner giver du? :

Det er meget nemt at checke om man er sårbar over for SQL injections.

Hvis man benytter dynamisk sql (opbygning af sql statements via streng behandling) er det 80% sikkert at man kan blive angrebet via SQL injections.

Hvis man derimod benytter prepared statements eller procedures er man 99% sikker på at undgå dem (det er endnu ikke lykkes mig at finde noget doc. på at det er 100% sikkert - ender med selv at lave den)

Omkring din .ldf fil tror jeg ikke der findes en viewer, har selv ledt for et par år siden (men verden kan jo have ændret sig ;). Det er et proprietært format fra M$....
Fra Holstebro
Tilmeldt 7. Apr 07
Indlæg ialt: 105
Skrevet kl. 23:12
Hvor mange stjerner giver du? :

Du er sikkert blevet ramt af en afart af den her http://www.computerworld.dk/art/45872?page=1

 Det sql injection som den bruger er mere avanceret end blot at sende nogle "UPDATE/DELETE/INSERT" statments, så hvis det er det du har ledt efter i din IIS log, finder du ikke noget.

Hvis du kigger her http://www.modsecurity.org/blog/archives/2008/01/sql_injection_a.html kan du se at angrebet sendes som en CAST af en masse Hex tegn. På den måde undgår de at sende "kendte" tekststrenge som UPDATE, og derved kommer de udenom application firewalls osv.

Jeg syntes dog at jeg har set DECLARE indgå i alle de angreb jeg har observeret, så måske kan du søge efter det i dine IIS logfiler, men der er selvføleglig ingen garantier.

Jeg har ikke specielt gode erfaringer med at spotte SQL injection igennem SQL server loggen, men det kan jo være der er andre der kan komme med nogle fif.

Held og lykke med oprydningen.

Mvh

Janus
Fra Ringe
Tilmeldt 21. Jun 07
Indlæg ialt: 165
Skrevet kl. 07:16
Hvor mange stjerner giver du? :

Mange tak for jeres svar.

På min egen sqlserver bemærkede jeg i samme tidsrum at en amerikansk ip uden held forsøgte at logge ind via sa kontoen. Det jeg er kommet i tvivl om er om angrebet er sket via en web application eller om det er direkte på sql serveren.

 

Keld Jakobsen Comito.dk Fra Kompleks Ide Til Intelligent Løsning

Fra Ribe
Tilmeldt 24. Mar 05
Indlæg ialt: 2069
Fra  ActiveWebs A/S Skrevet kl. 10:33
Hvor mange stjerner giver du? :
Comito.dk:

På min egen sqlserver bemærkede jeg i samme tidsrum at en amerikansk ip uden held forsøgte at logge ind via sa kontoen. Det jeg er kommet i tvivl om er om angrebet er sket via en web application eller om det er direkte på sql serveren.

 

Hvis man har en MSSQL server der lytter på en offentlig IP adresse, så er brute force forsøg på sa kontoen meget almindeligt og det kan derfor være helt tilfældigt at det er sket på samme tid.
Side 1 ud af 1 (6 indlæg)
Bliv gratis medlem pa Amino