勿讓SQL Server成幫兇

■

單位的某臺(tái)服務(wù)器遭到了黑客入侵，黑客對(duì)運(yùn)行在其中的網(wǎng)站進(jìn)行了非法修改，造成了數(shù)據(jù)丟失的情況。幸好之前進(jìn)行了數(shù)據(jù)備份，才恢復(fù)了網(wǎng)站的運(yùn)行。事后經(jīng)過(guò)分析，找到了黑客入侵的通道——原來(lái)該網(wǎng)站采取是ASP.NET+MS SQL Server結(jié)構(gòu)，由于開(kāi)發(fā)者存在疏忽，對(duì)黑客防范的安全性不高，致使某些頁(yè)面存在注入漏洞，黑客對(duì)該網(wǎng)站檢測(cè)時(shí)，發(fā)現(xiàn)了上述漏洞，通過(guò)手工注入猜測(cè)或者使用啊D等注入工具，對(duì)網(wǎng)站進(jìn)行了滲透，通過(guò)數(shù)據(jù)庫(kù)差異備份技術(shù)，得到了WebShell接口，通過(guò)相應(yīng)的提權(quán)操作，獲得了更大的操作權(quán)限，進(jìn)而控制了整臺(tái)服務(wù)器。

黑客入侵手段淺析

我們知道，對(duì)于網(wǎng)站來(lái)說(shuō)，所有的數(shù)據(jù)全部存放在后臺(tái)數(shù)據(jù)庫(kù)中，一般我們使用的是Access或者M(jìn)S SQL Server數(shù)據(jù)庫(kù)。注入技術(shù)對(duì)后者危害最大，如果該數(shù)據(jù)庫(kù)連接用戶的名稱為SA，那么黑客只需借助一個(gè)注入點(diǎn)，就可以控制整臺(tái)服務(wù)器。即使數(shù)據(jù)庫(kù)的連接用戶是DB_Owner，黑客同樣可以或者Web Shell接口。例如，黑客使用數(shù)據(jù)庫(kù)差異備份技術(shù)，就可以將ASP木馬上傳到網(wǎng)站中，進(jìn)而獲得WebShell接口，來(lái)執(zhí)行各種命令，對(duì)網(wǎng)站進(jìn)行更深層次的入侵。例如，對(duì)于存在注入漏洞的網(wǎng)址“http：//www.xxx.net/news_list.aspx？typeid=109”來(lái)說(shuō)，黑客使用專業(yè)工具對(duì)其進(jìn)行檢測(cè)時(shí)，就會(huì)發(fā)現(xiàn)其存在注入漏洞，并讓黑客獲得訪問(wèn)數(shù)據(jù)庫(kù)的SA權(quán)限或DB_Owner級(jí)別權(quán)限。

在本例中，黑客獲得DB_Owner級(jí)別的訪問(wèn)權(quán)限。接下來(lái)，黑客會(huì)借助工具嘗試列目錄來(lái)找到網(wǎng)站物理路徑。能否找到網(wǎng)站的真實(shí)路徑，是黑客入侵能夠得手的關(guān)鍵點(diǎn)。當(dāng)獲取實(shí)際路徑后，黑客就可以通過(guò)數(shù)據(jù)庫(kù)差異備份實(shí)施入侵了。其慣用手法是先在MS SQL Server數(shù)據(jù)庫(kù)中創(chuàng)建一個(gè)表，例如訪問(wèn)網(wǎng)址“http：//www.xxx.net/news_list.aspx？typeid=109’；drop table [tk_tmp]；create table[dbo].[tk_tmp]([cmd][image])”等，然后執(zhí)行數(shù)據(jù)庫(kù)備份操作，接著將一句話木馬（例如“<%execute(request(“1”))%>”等，當(dāng)然，實(shí)際采取的是其16進(jìn)制格式）插入到預(yù)設(shè)上述創(chuàng)建的表中。最后執(zhí)行數(shù)據(jù)庫(kù)差異備份，將備份文件（即ASP木馬文件）存放到指定的路徑中，該路徑位于網(wǎng)站物理路徑之內(nèi)。操作完成后，刪除上述數(shù)據(jù)表（例如訪問(wèn)網(wǎng)址“http：//www.xxx.net/news_list.aspx？typeid=109’；drop table[tk_tmp]--”），掃除入侵痕跡。黑客接下來(lái)使用一句話木馬的客戶端連接預(yù)設(shè)的上述網(wǎng)頁(yè)地址，就可以輕松獲得WebShell接口了。

禁止數(shù)據(jù)庫(kù)備份，防止黑客入侵

了解了黑客的入侵手段后，對(duì)網(wǎng)站相關(guān)文件進(jìn)行修改，就可以堵住非法注入通道。不過(guò)，百密必有一疏，面對(duì)復(fù)雜的網(wǎng)站結(jié)構(gòu)，難免出現(xiàn)這樣或者那樣的問(wèn)題。因此，需要禁止黑客利用數(shù)據(jù)庫(kù)差異備份技術(shù)，對(duì)發(fā)起的網(wǎng)絡(luò)攻擊，才是根本解決之道。要堵住該漏洞，可以采取多種手段，其中最重要的是禁用數(shù)據(jù)庫(kù)備份功能，在MS SQL Server企業(yè)管理器中，在其左側(cè)打開(kāi)“SQL Server組”→“（Local）”→“數(shù)據(jù)庫(kù)”項(xiàng)，在窗口右側(cè)顯示數(shù)據(jù)庫(kù)列表信息。在和網(wǎng)站關(guān)聯(lián)的數(shù)據(jù)庫(kù)右鍵菜單上點(diǎn)擊“屬性”項(xiàng)，在彈出窗口中的“權(quán)限”面板中可以看到，針對(duì)不同的用戶/角色，可以控制創(chuàng)建表，創(chuàng)建視圖，備份DB，備份日志等權(quán)限。在默認(rèn)情況下，Public或者其它用戶/角色賬戶擁有全部權(quán)限，這就為數(shù)據(jù)庫(kù)安全帶了隱患。因此，選中和網(wǎng)站數(shù)據(jù)庫(kù)對(duì)應(yīng)的用戶/角色，在其對(duì)應(yīng)的“備份DB”，“備份日志”列中點(diǎn)擊，使其出現(xiàn)紅叉標(biāo)記，就禁止了該賬戶上述權(quán)限。我們可以對(duì)其測(cè)試一下，在MS SQL Server內(nèi)置的查詢分析器選擇網(wǎng)站數(shù)據(jù)庫(kù)，執(zhí)行備份指令“declare@a sysname select @a=db_name() backup database @a to disk=’d： k’”，MS SQL Server就會(huì)彈出禁止備份的提示信息。

禁止創(chuàng)建表操作，防止黑客上傳木馬

當(dāng)然，如果單純禁用了數(shù)據(jù)庫(kù)備份功能，多少顯得有些簡(jiǎn)單粗暴。因?yàn)樽鳛榫W(wǎng)管員，是需要經(jīng)常對(duì)數(shù)據(jù)庫(kù)進(jìn)行備份的。如果禁用了備份功能，恐怕就連網(wǎng)管員自己也無(wú)法備份了。根據(jù)對(duì)黑客入侵手段的分析，不難看出黑客必須先在數(shù)據(jù)庫(kù)中創(chuàng)建一個(gè)臨時(shí)數(shù)據(jù)表，才可以打開(kāi)入侵的通道?！癈reate Table”是創(chuàng)建數(shù)據(jù)表必須用到的命令。如果禁用了數(shù)據(jù)表創(chuàng)建動(dòng)作，黑客就無(wú)計(jì)可施了。而且這對(duì)網(wǎng)站運(yùn)行沒(méi)有任何影響，因?yàn)樵诰W(wǎng)站創(chuàng)建時(shí)，的確需要?jiǎng)?chuàng)建各種數(shù)據(jù)表，但是網(wǎng)站運(yùn)行成功后，基本就不再創(chuàng)建數(shù)據(jù)表。當(dāng)然，如果對(duì)網(wǎng)站進(jìn)行升級(jí)的話，涉及到新表的創(chuàng)建，還是需要使用該操作的。根據(jù)以上操作，在MS SQL Server企業(yè)管理器中打開(kāi)對(duì)應(yīng)數(shù)據(jù)庫(kù)的屬性窗口，在“權(quán)限”面板中選擇和網(wǎng)站數(shù)據(jù)庫(kù)對(duì)應(yīng)的用戶/角色賬戶，在其對(duì)應(yīng)的“創(chuàng)建表”列中點(diǎn)擊，使其出現(xiàn)紅叉標(biāo)記，禁用創(chuàng)建表的權(quán)限。之后在在MS SQL Server內(nèi)置的查詢分析器選擇網(wǎng)站數(shù)據(jù)庫(kù)，執(zhí)行諸如“Create Table Tktmp（Tkname nvarchar（200））”等命令創(chuàng)建數(shù)據(jù)表時(shí)，MS SQL Server就會(huì)提示拒絕創(chuàng)建數(shù)據(jù)表操作。

創(chuàng)建NoDown表，禁止非法訪問(wèn)

禁用了數(shù)據(jù)表的創(chuàng)建操作，并不能高枕無(wú)憂。因?yàn)楹诳蛯?duì)網(wǎng)站的探測(cè)是全方面的，前面已經(jīng)談到，黑客執(zhí)行數(shù)據(jù)庫(kù)差異化備份獲得WebShell的關(guān)鍵是取得網(wǎng)站的物理路徑，如果黑客通過(guò)別的手段獲得了網(wǎng)址物理路徑，并探測(cè)到數(shù)據(jù)庫(kù)中表和字段信息，完全可以將一句話木馬插入到某個(gè)表的某個(gè)字段中，然后進(jìn)行數(shù)據(jù)庫(kù)備份，同樣可以達(dá)到目的。例如，可以在查詢分析器中執(zhí)行“insert into [table](ziduan)value (0x一句話木馬的16進(jìn)制代碼))”等語(yǔ)句，可以看到成功的將一句話木馬插入到了某個(gè)表的指定字段中。接著黑客會(huì)使用“Backup Database”命令備份網(wǎng)站數(shù)據(jù)庫(kù)，之后通過(guò)瀏覽器訪問(wèn)備份出來(lái)的ASP文件，同樣可以獲得WebShell。該如何防御這種入侵伎倆呢？

我們可以借助于在數(shù)據(jù)庫(kù)中創(chuàng)建“nodown”表的辦法來(lái)應(yīng)對(duì)。在查詢分析器中執(zhí)行“Create Table [dbo].[nodown]([tkqwe] image)；Insert into[dbo].[notdown](tkqwe)value(0x3C25)” 命 令，就 在網(wǎng)站數(shù)據(jù)庫(kù)中創(chuàng)建了名為“nodown”的數(shù)據(jù)表，在其中包含“tkqwe”字段，其類型為“image”，并在其中插入了“0x3c25”的數(shù)據(jù)，“3c25”就是“<%”的十六進(jìn)制內(nèi)容。

為了防止黑客隨意操作該表，需要在MS SQL Server的企業(yè)管理器中選擇網(wǎng)站數(shù)據(jù)庫(kù)，在“表”對(duì)象中選擇該數(shù)據(jù)表，在其屬性窗口中點(diǎn)擊“權(quán)限”按鈕，在彈出窗口中針對(duì)目標(biāo)用戶/角色賬戶，禁用所有的操作命令，包括Select，Insert，Update，Delete 等。 接著重復(fù)上述測(cè)試操作，將一句話木馬插入到某個(gè)表中的某個(gè)字段中，然后將數(shù)據(jù)庫(kù)備份到網(wǎng)站指定路徑中，得到包含ASP木馬的ASP文件。當(dāng)客戶端使用瀏覽器訪問(wèn)該ASP文件時(shí)，就會(huì)出現(xiàn)“編譯器錯(cuò)誤，缺少語(yǔ)句”等信息。類似的，使用差異備份方式，執(zhí)行一句話木馬的插入和備份操作，在客戶端訪問(wèn)木馬是同樣出現(xiàn)上述錯(cuò)誤提示，讓黑客無(wú)法獲得WebSHell。

其實(shí)，上述技術(shù)同樣適用于Access數(shù)據(jù)庫(kù)，在基于ASP+Access結(jié)構(gòu)的網(wǎng)站中，管理員最擔(dān)心的是黑客暴庫(kù)技術(shù)，直接下載Access數(shù)據(jù)庫(kù)，這樣網(wǎng)站幾乎沒(méi)有秘密可言。為了防止非法下載數(shù)據(jù)庫(kù)，可以在Access數(shù)據(jù)庫(kù)中創(chuàng)建名為“notdown”的數(shù)據(jù)表，其中的字段類型為“OLE對(duì)象”，內(nèi)容就是“0x3c25”。按照ASP的語(yǔ)法特點(diǎn)，如果存在“<%”而沒(méi)有對(duì)應(yīng)的“>%”，在運(yùn)行ASP文件時(shí)就會(huì)出現(xiàn)錯(cuò)誤。這樣就可以保護(hù)Access數(shù)據(jù)庫(kù)不被非法卸載了。根據(jù)以上分析，通過(guò)采用創(chuàng)建“nodown”數(shù)據(jù)表，可以堵住數(shù)據(jù)庫(kù)備份或者差異備份所產(chǎn)生的漏洞。禁用數(shù)據(jù)庫(kù)的“Create table”命令，可以禁止創(chuàng)建數(shù)據(jù)表，防止黑客讀取磁盤目錄獲得網(wǎng)站真實(shí)路徑。禁用數(shù)據(jù)庫(kù)的“備份日志”功能，可以屏蔽和數(shù)據(jù)庫(kù)備份有關(guān)的漏洞。將上述三點(diǎn)聯(lián)合起來(lái)使用，黑客就無(wú)法通過(guò)數(shù)據(jù)庫(kù)備份技術(shù)來(lái)創(chuàng)建WebShell了。