小记:借助美创数据库防火墙快速实现应急响应

栏目: 数据库 · 发布时间: 5年前

内容简介:最近,部署在云服务器上的一台数据库防火墙有很多奇怪的日志,其中登录日志显示有很多 IP 登录失败,访问日志中有特定 IP 在执行一些不常见的 SQL 语句,下面我们简单看一下。SQL SERVER 登录日志
  • 事件概况

最近,部署在云服务器上的一台数据库防火墙有很多奇怪的日志,其中登录日志显示有很多 IP 登录失败,访问日志中有特定 IP 在执行一些不常见的 SQL 语句,下面我们简单看一下。

小记:借助美创数据库防火墙快速实现应急响应

SQL SERVER 登录日志

小记:借助美创数据库防火墙快速实现应急响应

SQL  执行记录

  • 简单分析

01

从登录日志上看,可以判断有很多服务器在尝试爆破搭建在云服务器上的 SQL SERVER 账号,没啥好说的。要是愿意的话,可以把 SQL SERVER 的默认端口1433改成自定义端口,被攻击的情况会有改善。

02

从 SQL 执行记录上看,首先判断执行的这个 IP 不属于公司内部人员,发现 IP 地址在波兰,这些 SQL 也不是内部人员执行的,这里就知道这台服务器被人黑了。

03

小记:借助美创数据库防火墙快速实现应急响应

小记:借助美创数据库防火墙快速实现应急响应

04

这里我们重点看下,病毒是怎么从 SQL SERVER 数据库传播到系统上的。在成功爆破数据库账号后,根据防火墙的 SQL 执行日志,发现主要有几条 SQL 在循环执行,我们依次来看下这几条 SQL 的作用。

4.1 添加数据库用户 DBHELP 并赋予管理员权限

小记:借助美创数据库防火墙快速实现应急响应

4.2 激活 xp_cmdshell 函数并刷新配置,为什么要激活这个函数呢?因为通过这个函数可以直接执行操作系统上的命令。

小记:借助美创数据库防火墙快速实现应急响应

4.3 通过 SQL SERVER 将 vbs 脚本保存至操作系统目录,如果是系统版本脚本会保存在 C:\USERS\PUBLIC\MUSIC\1.VBS 。防火墙审计到的这段vbs脚本内容是16进制的,解码后,其主要作用就是判断操作系统版本,再从远程服务器上下载对应版本的挖矿程序,执行挖矿程序。

小记:借助美创数据库防火墙快速实现应急响应

(16进制的内容有点多,就不一一截图了。)

4.4  定期执行操作系统上相关目录的 vbs 脚本,这里的 vbs 脚本就是通过 4.3 生成的。

小记:借助美创数据库防火墙快速实现应急响应

除了通过 4.3 和 4.4 的方式进行挖矿感染,它还使用了另外一种方式。

4.5  定时通过 regsvr32.exe 将 vbs 的内容反注册到 dll 中,其中 KMA2.SCT 的内容和 4.3 的16进制内容是相同的。

小记:借助美创数据库防火墙快速实现应急响应

4.6  利用 ASSEMBLY  触发相关 dll ,从而执行 KMA2.SCT 的脚本内容。

小记:借助美创数据库防火墙快速实现应急响应

小记:借助美创数据库防火墙快速实现应急响应

从这次挖矿病毒传播手法来看,只要知道数据库账号,通过 SQL SERVER 的特性,便可以传播挖矿病毒。

  • 解决方法

1. 根据攻击的流程,清除相关痕迹,不细说

2. 删除黑客生成的账号,修改数据库账号密码

3. 根据 SQL SERVER 攻击的 SQL 特性,生成特定的数据库防火墙防御规则,便可将以上两种攻击手段防御住

小记:借助美创数据库防火墙快速实现应急响应


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

火球

火球

张传波 / 2012-2 / 39.80元

《火球:UML大战需求分析》融合UML、非UML、需求分析及需求管理等各方面的知识,帮助读者解决UML业界问题、需求分析及需求管理问题。全书主要介绍UML的基本语法、面向对象的分析方法、应用UML进行需求分析的最佳实践及软件需求管理的最佳实践四个方面的内容。 《火球:UML大战需求分析》各章以问题为引子,通过案例、练习、思考和分析等,由浅入深地逐步介绍UML综合应用的知识。《火球:UML大战......一起来看看 《火球》 这本书的介绍吧!

在线进制转换器
在线进制转换器

各进制数互转换器

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具