Se fate una ricerca per:Che cosa sta cercando di fare questo hacker?
vedrete un sacco di esempi di un tentativo di mod lungo le linee di:
1) declare @q varchar(8000) select @q = 0x57414954464F522044454C4159202730303A30303A313527 exec(@q) --
Che cosa è esattamente Sta cercando di fare? Su quale db sta cercando di lavorare? Conosci qualche consiglio su questo?
Sta testando il server per SQL Injection, in particolare si tratta di un test robusto che funzionerà anche se il suo Blind SQL Injection. Blind SQL Injection è quando un utente malintenzionato è in grado di eseguire SQL, tuttavia non esiste una risposta visualizzabile. Se la richiesta http richiede almeno 15 secondi, l'utente malintenzionato saprà che può eseguire SQL e che esegue MS-SQL. Dopo questo attacco lo seguirà con un xp_cmpdshell() per infettare il tuo server.
Questa è una stringa esadecimale. Quando si traduce, esso si traduce in: "WAITFOR DELAY '00: 00: 15' "
Secondo http://bytes.com/topic/mysql/answers/888849-hacker-attempt sembra che sta cercando di correre:
WAITFOR DELAY '00: 00: 15'
Come altri hanno sottolineato, non si tratta di un attacco DOS (come ho dichiarato in origine) ma semplicemente di un modo per determinare facilmente se SQL Server è vulnerabile e può essere aggiunto a un elenco di host per ulteriori operazioni successive.
Il tuo 1/2 giusto, peccato che nessun hacker voglia fare il server casuale DoS. – rook
Questo non è un attacco DoS (l'attesa del ritardo ha un impatto limitato sul database - ci sono attacchi DoS migliori come forzare il ritorno di molte righe). È un test cieco per le vulnerabilità di SQL injection. Se l'app è vulnerabile, il database si interrompe per 15 secondi consentendo all'aggressore di rilevare la vulnerabilità misurando il ritardo nella risposta HTTP. – flpmor
In termini più semplici lui/lei/è molto lucido. Usando la strategia "WAITFOR DELAY ..." permette a lui/lei di vedere se il server è vulnerabile senza registrare nulla. Il controllo è stato fatto per vedere quale accesso ha l'utente connectiontring nel db. E come ha detto @Rook, QUESTO SAREBBE AD ESEGUIRE XP_CMDSHELL() che può dare accesso all'intruso al server e persino alla tua rete.
Sembra tradurre in 'WAITFOR DELAY '00: 00: 15'' - rallenta alcuni script? Crawlers? – Konerak
Forse se il server non risponde per oltre 15 secondi, l'hacker sa che il server era vulnerabile a questo attacco. Potrebbe essere un modo per rilevare server SQL compromessi utilizzando un comando che non lascia troppa traccia (15 secondi di ritardo) ma che è comunque rilevabile. –
Wow! C'è un sacco di risultati per quella ricerca: S – Justin