현제 서버 2008
sql 2008 r2 + asp 사용중입니다
헌데 약한달전부터 디비 위변조가 일어나고 있습니다.
대처 방법으로는
100-65535?? 까지에 포트 차단
유료웹방화벽 설치.
xp_cmdshell 이라는걸 삭제하라는데 2008 버전에는 없는것인지..마스터테이블쪽에 확장프로시저에는 나오는데
삭제는 안되더군요
그래서 검색해서 나온 xplog70.dll 삭제 xpstar.dll 삭제 (이걸삭제하니 sql 구동에는 문제없지만 에이전트라던지하는 기능들이
작동하지않더군요..현재는 해킹이 시급한지라..
80포트쪽으로는 웹방화벽이 잇어서인지..로그기록을 보아도 스캔흔적도 없습니다.
전문적으로 공부를 한것이 아니라서..한계가 있습니다.
이벤트 로그쪽에 sql 로그를 보니
어제 서버이전을 하였는데도 이전한 서버로도 역시 해킹이 들어옵니다.
이전한 사유가 마스터쪽 프로시저부분에 그어떤한것이 심어져잇을까해서
이전한거였는데도 전혀 효과를 못보고 단 몇시간만에 해킹이 들어왓습니다.
단하나 흔적이라고 볼만한것이 웹에 접속하는 로그들이 남는데
설정해논 계정으로 들어온 로그외에
이전하기전 계정으로 로그인시도해서 실패한 흔적이 두번정도 있습니다.
공부를 한다고 했는데 sql 외부접속이라는것이 1433 1444 포트를 막으면 접속이 불가능 한거 아닌가요?
sql 구성에서 TCP항목을 포트도 바꿔놓앗지만 아예 사용자체도 안함으로 바꿔버렷습니다.
80포트로는 방화벽이 잇구 그외에 접속할만한 것들은 죄다 막엇는데..
도무지가 어떻게 들어오는지를 모르겟습니다..ㅠㅠ
고수님들 제발 도움부탁드립니다
현재 sql 계정은 sa계정은 이름변경에 패스워드 변경해놨구여
새로운 계정에는 sysadmin 권한 들어가잇습니다.
그외에 내부 계정들은 adminstrator 를 제외하곤 권한도 로그인권한도 다 빼노앗습니다..
Comment 10
-
나는짱이야
2014.07.25 15:05
-
무대포2
2014.07.25 15:22
use master
go
exec sp_dropextendedproc 'xp_cmdshell'
go이 쿼리문은 실행도 많이 해봤지만...권한이 없거나 파일이 없다고 해서 실행이 안됩니다 ㅠㅠ
-
무대포2
2014.07.25 15:24
해서그 밑에 나온 xplog70를 삭제하엿는데도 해킹은 여전하네요 ㅠㅠ
포트도 막고 웹80은 방화벽설치가 되어잇고..
대체 뭐가 문제일까요 ㅠㅠ
-
블루마운틴
2014.07.25 15:24
sql 2008 r2 + asp 사용중 이라고 하셨는데....
DB문제가 아닌 듯 합니다
asp 프로그램상의 sql injection 허점이 존재 하는거 같습니다
kisa에서 제공하는 웹방화벽을 설치 해 보는것도 한 방법이고,
http://www.krcert.or.kr/kor/webprotect/webprotect_04.jsp
asp 에서 Parameterized Query를 사용 하는 방법으로 소스를 수정해 주는 것도 한 방법 입니다
http://stackoverflow.com/questions/7654446/parameterized-query-in-classic-asp
http://www.codeproject.com/Articles/746108/A-Simplified-Parameterized-Query-Class-in-Classic
-
김동우(탱소연)
2014.07.25 15:25
sa 계정으로 시도하는거면 sa 변경작업도 고려해보시는게 좋지않을까요...근데 DB로 직접들어오는게 아니고 내부 다른 서버나 컴퓨터를 타고 접속시도하는거일수도있을텐데...로그인 실패로 아이피 정보가기록될텐데 그게 외부 IP 인건가요??;;;sa 인지 윈도우 로그인인지 sql 계정인지 IP가 외부가 맞는지정확한 확인이... -
무대포2
2014.07.25 15:33
SA계정은 이미 엄청 복잡한 이름으로 변경 패스워드도 한글+_대소문자+특문에 빈칸까지 ;;;;
로그인사용안함까지 해두엇구.
웹에서 디비로 접근하는 계정역시 새로 생성해서 엄청 복잡스러운걸로 설정을 해두었는데.
기억에 로그기록들을 떠올려보니 sql 계정을 수도없이 실패하면서 접속 시도를 하였엇습니다..ㅠㅠ
-
무대포2
2014.07.25 15:37
소스가 워낙 오래되고 허접한거라 비싼돈줘가며 웹방화벽을 설치한건데..
웹접속 로그를 100프로 신뢰할순 없지만..
웹쪽으로는 별다른 특별한 로그들이 없습니다.
간혹 스캔돌리는것들은 모두 차단되엇다는 로그도 나오고 잇구..
실제로 제가 웹텍스트칸에 쿼리문을 입력하여도 정상적으로 차단되고 잇습니다..
이런상황에 포트를 막아보라해서 100이상포트는 모두 차단하였는데..도무지가 해결이 안되네요 ㅠㅠ
-
김동우(탱소연)
2014.07.25 15:48
접속 IP 정보는 내부 외부인지 확인이 안되신건가요... 외부에서 못들어와도내부에 이미 바이러스가 퍼져있으면 들어오는건 어려운게 아니라.... -
무대포2
2014.07.25 15:53
외부 아이피였습니다..그렇지않어도 서버업체에 문의햇엇던게 잇어서
내부에 바이러스라던지 모가 심어져잇을까바.
서버이전까지한건데...소스를 뒤집어 까바야 할런지..
동우님 혹시..디비쪽에서 검색해바야할 문구라던지
소스쪽에서 검색해바야할 문구라던지 하는게 잇을까요??
-
김동우(탱소연)
2014.07.25 18:57
포트를 막았는데도 외부에서 직접 로그인시도한다는게 이해가안가네요......외부에서 특정 서버로만 들어가는걸 막은건지 대역으로 들어가는걸 막았는지...다시 한번 확인하시는게 좋을거같아요...일단 퇴근하시게되면 집에서 해당 포트로 테스트를 해보심이 좋을듯합니다....
http://ddoung2.tistory.com/60
참고 하세요.