SQL-Injection Versuch

Thema wurde von Anonymous, 7. April 2015 erstellt.

  1. Avenger

    Avenger G-WARD 2012/13/14/15

    Registriert seit:
    26. April 2011
    Beiträge:
    4.771
    Danke erhalten:
    1.478
    Danke vergeben:
    89
    Ich habe mal die SQL-Injection-Versuche im access-log untersucht.

    Es werden an 2 Stellen Versuche gestartet, SQL einzuschleusen:

    einmal über den "listing_sort"-Parameter, z.B.

    PHP:
    index.php?language=en&cat=c25_Natural-Stone.html&filter_id=1&page=1&listing_sort=999999.9 union all select 0x31303235343830303536-- HTTP/1.1" 200 189 "-" "Mozilla/4.0 (compatibleMSIE 7.0Windows NT 5.1SV1; .NET CLR 2.0.50727)"
    Da kann man ein Problem allerdings ausschließen, da der "listing_sort"-Parameter nirgendwo direkt in einer DB-Query auftaucht.

    Die 2. Stelle betrifft den "language"-Parameter, z.B.

    PHP:
    index.php?language=999999.9 union all select 0x31303235343830303536,0x31303235343830303536--&cat=c25_Natural-Stone.html&filter_id=1&page=1&listing_sort=shipping_asc HTTP/1.1" 200 189 "-" "Mozilla/4.0 (compatibleMSIE 7.0Windows NT 5.1SV1; .NET CLR 2.0.50727)"
    Der "language"-Parameter wird auch nicht in DB-Abfragen verwendet, sondern ein davon abgeleiteter "languages_id"....

    Und über "xtc_input_validation" werden alle Zeichen außer Buchstaben herausgefiltert.

    PHP:
      $lng = new language(xtc_input_validation($_GET['language'], 'char'''));
    Da kann also auch nicht s geschehen.....

    Es waren auch keine SQL-Befehle enthalten, die die DB in irgendeiner Form beschädigen konnten.

    Der aufgetretene Fehler hat andere Ursachen, das Zusammentreffen mit diesen SQL-Injection-Versuchen war m.E. rein zufällig....
     
  2. Nonito (Gambio)

    Nonito (Gambio) Administrator
    Mitarbeiter

    Registriert seit:
    21. April 2011
    Beiträge:
    279
    Danke erhalten:
    134
    Danke vergeben:
    52
    Was heißt denn "platt"? Waren auf der Seite Fehlermeldungen zu sehen? War der Shop nicht mehr zu erreichen und der Browser hat einen Timeout gemeldet?
     
  3. Anonymous

    Anonymous G-WARD 2015/2016

    Registriert seit:
    20. Februar 2012
    Beiträge:
    8.583
    Danke erhalten:
    1.484
    Danke vergeben:
    961
    Shop war nicht mehr zu erreichen, es kamen diese Fehlermeldungen:

     
  4. Christian Mueller

    Christian Mueller Beta-Held

    Registriert seit:
    4. Juli 2011
    Beiträge:
    3.262
    Danke erhalten:
    700
    Danke vergeben:
    245
    Hast Du denn schonmal nachgesehen ob da evtl. jemand über andere Wege in den Shop kommt?
    Direkt über MySQL Port 3306 zum Beispiel oder FTP?

    Hast Du ein auth-log?
     
  5. Avenger

    Avenger G-WARD 2012/13/14/15

    Registriert seit:
    26. April 2011
    Beiträge:
    4.771
    Danke erhalten:
    1.478
    Danke vergeben:
    89
    Wie schon geschreiben:

    das Zusammentreffen mit SQL-Injection-Versuchen und diesem Fehler, der ganz andere Ursachen hatte, war rein zufällig....

    Der Shop wurden nicht gehacked...
     
  6. Anonymous

    Anonymous G-WARD 2015/2016

    Registriert seit:
    20. Februar 2012
    Beiträge:
    8.583
    Danke erhalten:
    1.484
    Danke vergeben:
    961
    heute wohl ein neuer SQL-Injection Versuch; zumindest gab es eine Mail dazu.
    Allerdings kann ich mir nicht vorstellen, dass das ein Google-Bot macht.........

     
  7. Avenger

    Avenger G-WARD 2012/13/14/15

    Registriert seit:
    26. April 2011
    Beiträge:
    4.771
    Danke erhalten:
    1.478
    Danke vergeben:
    89
    Das war ein "false positive"....

    In dem Filter wurde noch auf den String "from " als Injection-Kriterium geprüft, habe ich entfernt.

    Du solltest auch die Datei "GProtector/ip_blacklist.txt" leeren, weil der Filter IPs, die er als verdächtig erkennt, automatisch dort einträgt, um diese zu blockieren....
     
  8. Anonymous

    Anonymous G-WARD 2015/2016

    Registriert seit:
    20. Februar 2012
    Beiträge:
    8.583
    Danke erhalten:
    1.484
    Danke vergeben:
    961
    ok, danke. In der ip_blacklist stehen aber immer noch nur die 2 IP's, die ich selbst eingetragen habe. Ich denke, die lasse ich doch drin, oder. Dafür ist diese Datei doch da.....
     
  9. Avenger

    Avenger G-WARD 2012/13/14/15

    Registriert seit:
    26. April 2011
    Beiträge:
    4.771
    Danke erhalten:
    1.478
    Danke vergeben:
    89
    Habe gerade gesehen, dass bei Dir noch nicht die Version mit automatischer Blockade aktiv war....