Если вы выполните поиск:
вы увидите множество примеров попыток взломать строки:
1) declare @q varchar(8000) select @q = 0x57414954464F522044454C4159202730303A30303A313527 exec(@q) --
Что именно он пытается сделать? На какой db он пытается работать? Знаете ли вы какие-либо рекомендации по этому поводу?
Он тестирует ваш сервер для SQL Injection, особенно это надежный тест, который будет работать, даже если его Blind SQL Injection. Blind SQL Injection - это когда злоумышленник может выполнять SQL, но ответа нет. Если HTTP-запрос занимает не менее 15 секунд, злоумышленник будет знать, что он может выполнить SQL, а также ваш запуск MS-SQL. После этой атаки он будет следить за ней с помощью xp_cmpdshell(), чтобы заразить ваш сервер.
В соответствии с http://bytes.com/topic/mysql/answers/888849-hacker-attempt похоже, что он пытается запустить:
ЗАДЕРЖКА WAITFOR '00: 00: 15 '
Как отмечали другие, это не атака DOS (как я изначально заявлял), а просто способ легко определить, является ли SQL Server уязвимым и может быть добавлен в список хостов, чтобы, возможно, впоследствии взломать его позже.
В более простых терминах он/она/очень гладкий. Использование стратегии "WAITFOR DELAY..." позволяет ему/ей/видеть, уязвим ли сервер , не записывая ничего. Выполняется проверка, чтобы узнать, какой доступ имеет пользователь connectionstring в db. И, как @Rook сказал, THW ДОЛЖЕН ВЕДИТЬ XP_CMDSHELL(), который может предоставить злоумышленнику доступ к серверу и даже к вашей сети.
Это шестнадцатеричная строка. Когда вы его переводите, это переводится как "WAITFOR DELAY" 00: 00: 15 "
WAITFOR можно использовать для атаки SQL-инъекций на основе времени.
Основанные на времени атаки слепого SQL-инъекции
Методы, основанные на времени, часто используются для выполнения тестов, когда нет другого способа получить информацию с сервера базы данных. Этот тип атаки внедряет сегмент SQL, который содержит определенную функцию СУБД или тяжелый запрос, который генерирует задержку. В зависимости от времени, необходимого для получения ответа сервера, можно вывести некоторую информацию. Как вы можете догадаться, этот тип вывода особенно полезен для слепых и глубоких слепых атак с использованием SQL-инъекций.
Атаки на основе времени Плюсы и минусы
Одним из главных преимуществ этого метода является то, что он практически не влияет на журналы, особенно по сравнению с атаками на основе ошибок. Однако в ситуациях, когда необходимо использовать тяжелые запросы или функции с интенсивным использованием ЦП, такие как MySQL BENCHMARK(), шансы Хорошо, что системные администраторы понимают, что что-то происходит.
К счастью, эту уязвимость можно устранить с помощью новой функции базы данных SQL Server 2019/SQL Azure:
Ограничения функций
Одним из распространенных источников атак на SQL Server являются веб-приложения, которые обращаются к базе данных, где различные виды атак с использованием SQL-инъекций используются для сбора информации о базе данных. В идеале код приложения разрабатывается таким образом, чтобы он не допускал внедрения SQL. Однако в больших кодовых базах, которые включают в себя устаревший и внешний код, никогда нельзя быть уверенным, что все случаи были рассмотрены, поэтому инъекции SQL - это факт жизни, от которого мы должны защищаться. Цель ограничений возможностей - предотвратить утечку информации о базе данных в некоторые формы SQL-инъекций, даже если SQL-инъекция прошла успешно.
EXEC sp_add_feature_restriction <feature>, <object_class>, <object_name>Ограничение функций WAITFOR
Слепое внедрение SQL - это когда приложение не предоставляет злоумышленнику результаты введенного SQL или сообщение об ошибке, но злоумышленник может вывести информацию из базы данных, создав условный запрос, в котором две условные ветки занимают различное количество. времени, чтобы выполнить. Сравнивая время отклика, злоумышленник может узнать, какая ветвь была выполнена, и, таким образом, узнать информацию о системе. Простейшим вариантом этой атаки является использование оператора WAITFOR для введения задержки.
EXEC sp_add_feature_restriction N'Waitfor', N'User', N'MyUserName'