Un sitio web de mi cliente se vio comprometido por una persona que afirma que ahora tiene acceso a la base de datos. Por el hecho de que esta persona envió un correo electrónico que decía "contáctame y te diré dónde está el agujero" solo puedo esperar que el acceso esté limitado a solo lectura.
Inspeccioné los registros de acceso y encontré una secuencia de comandos & variable de solicitud GET sin escape que permite pasar sondas maliciosas
El ataque comenzó bastante a menudo:
xxx.xxx.xx.xxx - - [24/Jun/2017:17:29:02 -0600] "GET /x.x?x=2 HTTP/1.1" 200 13785 "Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-PT; rv:1.9.1.2) Gecko/20090729 Firefox/3.5.2 (.NET CLR 3.5.30729)"
xxx.xxx.xx.xxx - - [24/Jun/2017:17:29:02 -0600] "GET /x.x?x=2'A=0 HTTP/1.1" 200 181 "Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-PT; rv:1.9.1.2) Gecko/20090729 Firefox/3.5.2 (.NET CLR 3.5.30729)"
xxx.xxx.xx.xxx - - [24/Jun/2017:17:29:03 -0600] "GET /x.x?region='0=A HTTP/1.1" 200 181 "Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-PT; rv:1.9.1.2) Gecko/20090729 Firefox/3.5.2 (.NET CLR 3.5.30729)"
Luego sigue consultas como esas
xxx.xxx.xx.xxx - - [24/Jun/2017:17:29:03 -0600] "GET /x.php?x=(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fcOnCaT(0x217e21,%2f**%2fvErSiOn(),0x217e21))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a) HTTP/1.1" 200 55 "http://x/x.php?x=(%2f**%2fsElEcT+1+%2f**%2ffRoM(%2f**%2fsElEcT+count(*),%2f**%2fcOnCaT((%2f**%2fsElEcT(%2f**%2fsElEcT+%2f**%2fcOnCaT(0x217e21,%2f**%2fvErSiOn(),0x217e21))+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2flImIt+0,1),floor(rand(0)*2))x+%2f**%2ffRoM+information_schema.%2f**%2ftAbLeS+%2f**%2fgRoUp%2f**%2fbY+x)a)" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-PT; rv:1.9.1.2) Gecko/20090729 Firefox/3.5.2 (.NET CLR 3.5.30729)"
Por lo que puedo ver, la persona tuvo una idea bastante clara de cómo se ve la base de datos y su contenido.
Me gustaría saber qué herramienta se está utilizando para generar estas sondas después de que se encuentra una entrada no protegida, por lo que puedo ejecutarla para descubrir todo el alcance del acceso del atacante.
Estamos hablando de una aplicación heredada de PHP / MySQL sin un saneamiento de entrada confiable, así que supongo que la mejor manera de ver qué está mal es ejecutar un escáner de seguridad.
¿Cómo puedo resolverlo?
Solución
La herramienta que necesitaba para escanear ese sitio web en busca de más problemas & para tratar de explotarlos & & arreglarlos fue sqlmap. Espero que ayude a alguien en el futuro.