Ran*_*Guy 7 security sql-server sql-injection sql-server-2014
我会尽量清楚地解释我的问题。
我支持的一家公司的服务器运行着许多网站。此服务器运行带有 Microsoft SQL Server 2014 的 Windows Server 2012。
几乎所有网站都在运行由同一家公司制造的专有 Web 应用程序。
只有部分网站会受到(几乎)每个 TEXT、NTEXT 和 NVARCHAR(MAX) 字段在其各自数据库中的定期批量编辑的影响。
带有恶意或垃圾邮件链接的 HTML 被添加到表的每条记录中,仅在具有上述指定类型的字段中。
服务器已经用几个工具扫描过,所有的主密码(管理员,SQL Server 的 sa)都已更改。我还尝试运行 SQL Profiler 来尝试识别批量更新查询,但没有成功。
我现在可以想象,这可能是 SQL 注入攻击,它利用运行这些网站的软件中的漏洞,但为什么只有其中一些?其他具有相同版本的网站从未出现此问题。
如您所知,还有什么我可以尝试的吗,或者我错过了什么?如果您可能需要其他数据,请毫无问题地回复。
SQL 注入很难从 SQL Server 端跟踪。您应该查看您的 Web 服务器 IIS 日志,而不是查看 sql server。
使用Log Parser解析您的 IIS 日志以追踪 sql 注入的来源。例如
logparser.exe -i:iisw3c -o:Datagrid -rtp:100 “从 C:\wwwlogs\ 选择日期、时间、c-ip、cs-uri-stem、cs-uri-query、time-taken、sc-status\ W3SVCXXX\u_ex1207*.log where cs-uri-query like '%declare%'”
继续阅读