Oeps: gehackt sql injectie

    Ja, zelfs de besten maken fouten.
    Ik heb zonet ontdekt dat ik een sql injectie foutje had gemaakt in Onlinegamemanager.com => Start your own free game! ***


    De fout kwam doordat een bepaalde functie een waarde controleerde, maar aangezien deze controle enkel in die ene functie zat, heb ik er niet aan gedacht dit een jaar later in een andere nieuwe functie ook te doen.
    Ik ging er vanuit dat de input werd gefilterd in het begin van het script en heb dit niet gecontroleerd.


    Ik merkte dit doordat er hoge load was op de mysql database en er veel nginx foutmeldingen waren opeens op een van mijn servers.


    Deze url werd aangeroepen bv in de logs:
    pagina.php?parameter=de11111111111111111111111111%27 UNION SELECT CONCAT(CHAR(100,100,100),CHAR(91,88,93),GROUP_CONCAT(t.email),CHAR(91,88,88,93)) FROM (SELECT email FROM main.`options` WHERE `email` LIKE char(37,64,37) LIMIT 845,20)t limit 0,1 -- /* order by %27as


    Dit toont verder ook aan dat de persoon al vrij veel te weten was gekomen van mijn database structuur:
    hij wist de juiste tabel naam, welke velden in die tabellen zaten en was er bijna achter hoe de gegevens eruit te krijgen.
    Had ik 5 minuten later gereageerd, had hij alle gegevens in de tabel kunnen binnenhalen.
    Hij heeft wel wat buit gemaakt waarschijnlijk, een aantal email adressen, maar ik was er gelukkig snel bij.
    Zo te zien heeft hij vooral de oudere email adressen gestolen, welke voor 95% niet meer werken.


    Een tweede aanval zag er zo uit:
    =-4802%27 UNION ALL SELECT (SELECT CONCAT(0x71726e6571%2CIFNULL(CAST(email AS CHAR)%2C0x20)%2C0x6d697279656c%2CIFNULL(CAST(pass AS CHAR)%2C0x20)%2C0x7168696471) FROM main.%60%5Busers%5D%60 LIMIT 859%2C1)%23


    Ik zie pass erin staan, maar zo noemt dat veld niet. Ik denk dus niet dat hij het wachtwoord heeft kunnen stelen.
    Dat is bovendien ook uniek encrypted per user, met aparte salts. Oef.
    De query had gelukkig ook een LIMIT 1 op het einde, waardoor hij rij per rij eruit diende te halen.


    Wil je mee op onderzoek wie het was?
    Dit zijn de aanvallende ip's:
    - xxx.ip.telfort.nl => Klacht ingediend bij Telfort, eigenaar ip krijgt waarschuwing
    - xxx Hostname:killerbasement.tk => af laten sluiten
    (Ip's verwijderd)


    Conclusie:
    - reageer meteen in geval je opeens snel veel foutmeldingen hebt in je logs
    - kijk meteen naar welke queries er draaien op dat moment en hou je ogen open voor rare dingen
    - gebruik een LIMIT 1 op je queries waar nodig
    - altijd denken aan sql injectie


    Krijgen jullie die 2de query terug vertaald naar mensentaal? :)

    Sorry, het was al laat ;)


    Verder heb je absoluut gelijk: ik overtreed de regels hier.
    Desondanks is er een klein verschil:
    Hier kies ik er bewust voor om iets illegaals te doen, ik deel privacy gevoelige gegevens.
    De volledige verantwoordelijkheid ligt dan ook bij mij.


    Als jullie privé gegevens posten, ben ik er mee voor verantwoordelijk, terwijl ik dit dan onbewust doe en het zelfs niet weet.


    Ik zal de ip's straks weghalen. Ik hoop ondertussen op een gouden tip van een van de leden hier.


    Ps: heb nog een derde ip gevonden van de aanvaller. Dit zou wel eens zijn thuis ip kunnen zijn, want het begint met wat af te tasten. Deze deel ik hier niet.

    Ik zal er vanavond naar kijken, vanavond/morgen heb je zijn locatie als ik niet teveel moet hoppen tussen ISP's...


    Edit: Daarnaast hebben hackers geen privacy net als dieven :P zodra je zoiets doet moet je er gewoon voor zorgen dat je niet getracked kan worden...


    Edit2: Afkomstige locatie al gevonden, nu nog de EXACTE locatie :) dus NAW-gegevens... Uiteraard zal ik deze in een privebericht achter laten en niet openbaar in dit topic posten.

    Het IP adres van Telfort komt mij bekend voor.
    Deze heb ik dus direct door de server bij mij gehaalt waar al snel NAW gegevens naar bovenkwamen i.v.m. met een oude debiteur welke ik 2 maanden geleden nog heb gesommeerd tot betaling.


    Nu moet ik even gaan nakijken of we dat zomaar kunnen overdragen ?(
    Mocht iemand de bijbehorende wet kennen en mij dat kunnen zeggen be my guest!
    Of liever gezegd. K.Rens guest!

    Dit is computervredebreuk en volgens het wetboek van strafrecht... gezien deze persoon geen melding maakt betreft de lek en doelgericht is bezig geweest. Maar gezien de privacy wetgeving mogen er geen gegevens aan derde worden geven. Al gevraagd bij de ISP omdat ik daar toevallig iemand ken, hun geven aan alleen gegevens te verstrekken aan de politie dus @K.Rens zou denk ik aangiften moeten doen.

    Even snel een rechtszaak gepakt waarin Versio b.v. (een hoster) partij is.
    Hierbij is bij feiten (3.1 a t/m h) aan versio verzocht om de ware identiteit van de persoon te onthullen.
    Onderstaande link is dus interessant en heeft te maken met het onderwerp inzake opvragen gegevens




    http://uitspraken.rechtspraak.…013:BZ7749&keyword=versio



    http://uitspraken.rechtspraak.…013:BZ7749&keyword=versio


    Dus je wilt eigenlijk zeggen dat je dus misbruik maakt van je macht omdat jij een probleem hebt? Teken van zwakheid vind ik dat persoonlijk. Behandel dan ook iedereen gelijk en trek jezelf niet voor, had je tenslotte je website maar beter moeten beveiligen ;)

    Ik geef echter Koen gelijk. Het is zijn verantwoordelijkheid om dit te delen, omdat hij ervan bewust is. Als andere leden het doen, is hij aansprakelijk. Het kan zijn dat een lid gewoon iemand wilt opzoeken die spamt om op zijn *** te slaan bij wijze van spreken. Hier is een misdrijf gebeurt en hij vraagt tips. Hij is de verantwoordelijke van de site en daar kan jij niet zoveel aan doen. Hij kan jou bestraffen, maar jij @K.Rens niet. Ik zou hetzelfde doen.

    Citaat van Ferhat

    Ik geef echter Koen gelijk. Het is zijn verantwoordelijkheid om dit te delen, omdat hij ervan bewust is. Als andere leden het doen, is hij aansprakelijk. Het kan zijn dat een lid gewoon iemand wilt opzoeken die spamt om op zijn *** te slaan bij wijze van spreken. Hier is een misdrijf gebeurt en hij vraagt tips. Hij is de verantwoordelijke van de site en daar kan jij niet zoveel aan doen. Hij kan jou bestraffen, maar jij @K.Rens niet. Ik zou hetzelfde doen.


    Tips vragen kan uiteraard ook zonder het publiceren van een IP adres. Elk ander lid zal direct een waarschuwing/shit load aan PM/ban krijgen voor het publiceren van een adres. Dan mag je nog de eigenaar zijn van de website, ik vind persoonlijk niet dat je jezelf dan boven de 'wet' kun stellen. Voor het leiden van een community lijkt het mij dat je je als voorbeeld moet opstellen, dat doet hij in dit geval absoluut niet.

    Geen nood, heb de ip's ondertussen verwijderd.
    Verder gaat Telfort de zaak onderzoeken en een waarschuwing geven aan hun klant.


    Het jammere is dat rechtzaken zo lang duren, zucht.
    Als ze al niet geseponeerd worden.


    Update: vandaag probeerde de aanvaller vanuit een ander ip opdrachten uit te voeren zoals:
    pagina.php?parameter='&&BeNChMaRK(2999999,mD5(NOW()))&&'1
    Verder probeerde hij ook een aantal sleep commando's uit te voeren, om zo de database veel open verbindingen te krijgen.
    Lijkt dus alsof hij wraak wilt nemen, maar dat dit niet lukt...
    De opdrachten werken gelukkig niet meer.



    Ooit gehoord van standaard programma's die dit uitvoeren?
    Ik kan namelijk binnen 3 minuten een aanval uitvoeren op een parameter die ongelofelijk veel probeert in een korte tijd.
    Of het zijn doel is of niet hij is op dat moment fout bezig, en gehackt is een groot woord, als hij zijn IP al niet verbergt tijdens de aanval.


    Kan hem dus niet bepaald een hacker noemen, gewoon iemand die een programma vind en wat dingen uittest goed of kwaad het is en blijft fout natuurlijk.

    Citaat van K.Rens

    Ja hoor, maar zelfs dan is het nuttig.
    Alle providers van alle ip's hebben geantwoord dat ze hun klant hebben gewaarschuwd.
    Dus als het botnet is, weten nu tenminste de mensen dat hun computer gehackt is of deel is van een botnet.



    @M.Remijn doelt meer op het idee dat je hem aan een publieke schandpaal gezet hebt zonder kans van onderzoek.
    Zijn IP zou (indien je hem liet staan) via de zoekmachine natuurlijk niet echt positief gevonden worden.


    Kan zijn standpunt wel begrijpen hierin.

    Citaat van Wmdiensten

    @M.Remijn doelt meer op het idee dat je hem aan een publieke schandpaal gezet hebt zonder kans van onderzoek.
    Zijn IP zou (indien je hem liet staan) via de zoekmachine natuurlijk niet echt positief gevonden worden.


    Kan zijn standpunt wel begrijpen hierin.


    Meestal is het zo dat een verhaal twee kanten kent.
    Helaas weet ik de anderen kant niet maar meestal is dat ook maar goed.
    Onderzoek is belangrijk en een goed onderzoek heeft de meeste kans van slagen.

Participate now!

Heb je nog geen account? Registreer je nu en word deel van onze community!

Maak een account aan Login