Hacker này đang cố gắng làm gì?

Question

Nếu bạn thực hiện tìm kiếm cho:

http://www.google.co.uk/search?q=0x57414954464F522044454C4159202730303A30303A313527&hl=en&start=30&sa=N

bạn sẽ thấy rất nhiều ví dụ về một hack cố dọc theo dòng:

1) declare @q varchar(8000) select @q = 0x57414954464F522044454C4159202730303A30303A313527 exec(@q) -- 

gì là chính xác là nó cố gắng để làm gì? DB đang cố gắng làm việc gì? Bạn có biết bất kỳ lời khuyên nào về điều này không?

Answer 1

Ông đang thử nghiệm máy chủ của bạn cho SQL Injection, cụ thể đây là một thử nghiệm mạnh mẽ sẽ hoạt động ngay cả khi Blind SQL Injection của nó. Mù SQL Injection là khi một kẻ tấn công có thể thực thi SQL tuy nhiên, không có một phản ứng có thể xem được. Nếu yêu cầu http mất ít nhất 15 giây, kẻ tấn công sẽ biết rằng anh ta có thể thực thi SQL và rằng MS-SQL đang chạy của bạn. Sau cuộc tấn công này, anh ta sẽ theo dõi nó với một số xp_cmpdshell() để lây nhiễm cho máy chủ của bạn.

Answer 2

Đó là chuỗi thập lục phân. Khi bạn dịch nó, nó lại biến thành: "WAITFOR TRÌ HOÃN '00: 00: 15' "

Answer 3

Theo http://bytes.com/topic/mysql/answers/888849-hacker-attempt nó trông giống như nó đang cố gắng để chạy:

WAITFOR TRÌ HOÃN '00: 00: 15'

Như những người khác đã chỉ ra nó không phải là một cuộc tấn công DOS (như tôi đã nói) nhưng chỉ đơn thuần là một cách để dễ dàng xác định xem SQL Server là dễ bị tổn thương và có thể được thêm vào một danh sách các máy chủ để có thể tiếp tục hack đi sau này.

Answer 4

Nói một cách đơn giản, anh/cô ấy/cô ấy rất bóng bẩy. Sử dụng chiến lược "WAITFOR DELAY ..." cho phép anh/cô ấy/cô ấy xem liệu máy chủ có bị tổn thương mà không cần ghi lại bất cứ điều gì hay không. Việc kiểm tra đang được thực hiện để xem truy cập người dùng connectionstring nào có trong db. Và như @Rook đã nói, THT WOULD LEAD TO XP_CMDSHELL() có thể cho phép kẻ xâm nhập truy cập vào máy chủ và thậm chí cả mạng của bạn.