Ataque a mi sitio web

luisvasquez · #1 (**permalink**) 09/11/2007, 15:20

Estimados Amigos,

Tengo un sitio en ASP que envía u email al administrador (a mi) cuando ocurre un error en el manejo de la base de datos, es decir, un insert, update, select o cualquier otra instrucción SQL.

Desde hace unos 15 días estoy recibiendo un correo en el cual un usuario intenta registrarse y falla en el Insert. El error indica que existen campos cuyo criterio no coinciden.

Support,
There are errors in your Comersus Store:
INSERT INTO customers (name, last_name, fecha_nac, sexo, email, city, country, phone, address, zip, password, state , ip, fecha_reg,customerType) VALUES ('','Valintino','//','M, F','[email protected]','', '','','Hello, Your site is great. http://www.abra1.com <a href="http://www.abra2.com">abra2</a> abra3 http://www.abra4.com Regards, Valintino Guxxi','','','','124.155.113.21','10/27/2007',0)[Microsoft][ODBC Microsoft Access Driver] Data type mismatch in criteria expression.

Lo extraño es que este formulario valida los campos y algunos de ellos están vacíos a la hora de hacer el insert. La fecha de registro y la IP del usuario siempre son las mismas.

Intenté bloquear al usuario usando la IP, pero no funcionó. Luego usé request.ServerVariables("HTTP_REFERER") para que solo si viene desde una página especifica (la página anterior) lo dejara pasar..sin embargo TAMPOCO funcionó.

Luego, hice una modificación en el SQL para observar el cambio y mis sospechas fueron ciertas...el SQL que está intentando ejecutar este intruso NO ES EL MISMO QUE ESTÁ EN MI WEB!

...al parecer se copiaron el SQL y pretenden ejecutarlo de forma automática.

En vista de esto, busqué en google 'Valintino Guxxi' que, como pueden ver, aparece en el error como parte de los datos que intentan insertar, y me aparecieron 159,000 ocurrencias...me da la impresión de que este señor es más famoso de lo que yo pensaba...ha logrado insertar comentarios en Blogs, respuestas en foros, etc

A pesar de los 159,000 ocurrencias, no encontré nada sobre como evitarlo...

Alguna idea??

Saludos y muchas gracias,
Luis Vásquez

Myakire · #2 (**permalink**) 09/11/2007, 15:26

Pero a qué te refieres a que no has podido?
Tienes errores o solo es un fallo en el algoritmo del bloqueo?

luisvasquez · #3 (**permalink**) 09/11/2007, 17:07

Cita:

Iniciado por Myakire

Pero a qué te refieres a que no has podido?
Tienes errores o solo es un fallo en el algoritmo del bloqueo?

Gracias Myakire...

me refiero a que, a pesar de haber implementado un bloqueo, el mismo no ha funcionado...sigo recibiendo este correo de error, al menos 100 veces al día, lo que significa que el amigo valintino guxxi está intentando ejecutar un insert en mi base de datos...

El bloqueo no ha funcionado porque dicho insert se ejecuta en otro lugar. No tengo idea de como lo hace, pero yo cambié detalles en el SQL y el error que me llega tiene el SQL anterior. El email llega desde el servidor, tal como si la página que lo envía se ejecutase alli, pero ¿como es posible que haga modificaciones y el correo siga siendo identico?

Pensé que, dada la popularidad del personaje, existía alguna manera de evitarlo...afortunadamente no ha logrado insertar nada, pero es una molestia recibir 100 correo al día con un falso error...

Saludos, Luis

Shiryu_Libra · #4 (**permalink**) 09/11/2007, 17:41

pues al parecer este Aleman tambien tuvo ese tipo de percance con el tal valentino guxxi, he implemento esta funcion en PHP....

Código PHP:

  Ich finde es zwar nett, dass Du so gerne in Formulare
("I find it to be sure nicely, that you so gladly into forms")

"Hello, Your site is great. Regards, Valintino Guxxi"

eingibst, aber dass dann wenig später auf dem gleichen Weg Spam versendet oder in Webseiten eingetragen wird, dass finde ich weniger nett.
("Input, but that then little later on the same way spam sends or is registered in web pages, that find I fewer nicely.  ")

Deshalb habe ich mir erlaubt eine kleine PHP-Funktion zu schreiben, die etwa so funktioniert:
("Therefore I have myself permitted a small PHP-function to write, that about so functions: ")
function is_spam($str) {
    # Muster: Eintrag beginnt mit Link:
    $arMuster[]='^http.//';
    #Muster: Beginnt mit <a href
    $arMuster[]='^<a href';
    #Muster: Beginnt mit [url=
        $arMuster[]='^[url=';
    # Muster: Eintrag enthält mindestens 3 Links:
    $arMuster[]='http.//.*http.//.*http.//';
    #Muster: Enthält tramadol oder viagra
        $arMuster[]='[tT][rR][aA][mM][aA][dD][oO0][1liI]';
        $arMuster[]='[vV][1liI][aA][gG][rA][aA]';
    #Muster: Enthält Valintino Guxxi
    $arMuster[]='Valintino Guxxi';

        # Ab hier nichts mehr ändern.
    $str=trim($str);
    foreach ($arMuster as $strMuster)
    if (eregi ($strMuster, $str)) {
        die('Lass das spammen...');
    }
return false;
}

Der Aufruf geht ganz einfach mit
The proclamation goes along very simply
if (isset($_POST['TextEingabeFeld'])) {
        $dummy=is_spam($_POST['TextEingabeFeld']);
}Ja. Meine Seite ist "great". Und mit dem Code lassen sich auch andere PHP-Skripte ganz einfach, schnell und ohne Nebenwirkungen nachrüsten. Das kostet nicht viel.
("Yes.  My side is "great".  And with the code, also other PHP-scripts let very simply, quickly and without side-effect retrofit themselves.  That does not cost much.  ")

al parecer evita el SPAM, algun con mas agricultura sabra traducir esa funcion???

u_goldman · #5 (**permalink**) 09/11/2007, 18:21

Interesante...por lo que veo lo único que le falla es el insert al campo de fecha...sería bueno poder saber donde se está ejecutando este insert, el objeto error debe tener alguna propiedad que te diga en que archivo está sucediendo, si sabemos en dónde está sucediendo, podrías poner el código que ejecuta la sentencia para ver que podemos hacer.

Un saludo

AlZuwaga · #6 (**permalink**) 09/11/2007, 18:29

MERDA! Buscando valentino guxxi en google, el 7mo enlace es a éste mensaje!!! Hace sólo 3 horas lo publicaste y ya está indexado!!

luisvasquez · #7 (**permalink**) 09/11/2007, 19:36

a mi me aparece de segundo....ojalá mi sitio tomara esas posiciones tan raaaaapidoo..

luisvasquez · #8 (**permalink**) 09/11/2007, 19:55

Gracias Shiryu_Libra,

Acabo de darme cuenta de algo...

el ASP que envía el correo de error recibe como parametro error="Mensaje de error"&SQL.

Cuando hay un error en la ejecución de un SQL hago un response.redirect a este ASP con el mensaje de error y el SQL que lo provocó.

Ahora bien, si ejecuto este ASP directamente con un mensaje de error y un SQL cualquiere me enviará un correo con dichos datos, pero el SQL jamás se estará ejecutando en realidad...

Esta es la razón por la cual al cambiar el SQL en la página que genera el error, no cambia el mensaje que me llega...PORQUE EL MENSAJE ES FIJO...!

Ahora creo (quiero creer) que el amigo valintino está ejecutando el ASP que envía el mensaje y no el ASP que contiene el SQL.

Ahora he modificado el ASP para que me envíe también la IP de la conexión y otros datos, a fin de implementar el bloqueo respectivo...

Saludos,
Luis Vásquez

luisvasquez · #9 (**permalink**) 10/11/2007, 11:57

Amigos,

El sr. valintino hace los ataques con estos datos:

Referido desde:
IP: 216.195.54.90
navegador:

Tanto el referido desde como el navegador están vacíos. Esto significa que llega directo al mencionado ASP que envía el correo y que no usa un navegador que pueda ser identificado por ASP.

En cuanto a la IP, por curiosidad me animé a visitarla y me muestra un formulario con una especie de encuesta con 5 opciones y un botón.

Ahora bien, yo puedo evitar el fastidioso e-mail con un If por IP o por navegador = "", etc, pero eso no elimina el ataque..solo deja de alertarme que están atacando al servidor...

Algún consejo?

Saludos y gracias,
Luis

u_goldman · #10 (**permalink**) 10/11/2007, 12:21

Si dices que no es un browser, podrías hacer tu validación, primero que el user-agent ( request.servervariables("http_user_agent") ) sea un browser, después que venga de la misma aplicación referer, aunque este último solo funcionará si el cliente dispara un evento, es decir, en un redirect no te serviría; ya nos dirás mas cosas.

Saludos

luisvasquez · #11 (**permalink**) 10/11/2007, 13:15

Cita:

Iniciado por u_goldman

Si dices que no es un browser, podrías hacer tu validación, primero que el user-agent ( request.servervariables("http_user_agent") ) sea un browser, después que venga de la misma aplicación referer, aunque este último solo funcionará si el cliente dispara un evento, es decir, en un redirect no te serviría; ya nos dirás mas cosas.

Saludos

Gracias u_goldman,

Ciertamente con los datos que tengo puedo evitar que me llegue el email, sin embargo no creo poder evitar la ejecución del ASP que lo envía, me explico:

El código que tengo es la llamada a un procedimiento que realiza el envío:

Código:

   call sendmail (pCompany, pemailSender, pemailadmin, "Error temporal en la página", "Equipo de soporte, " &VBCrlf& "Ocurrió un error en el sistema: " &request.querystring("error")&VBCrlf& "Referido desde: "&request.ServerVariables("HTTP_REFERER")&VBCrlf& "IP: "&request.ServerVariables("REMOTE_HOST")&VBCrlf& "navegador: "&request.ServerVariables("HTTP_USER_AGENT"),"N")

Puedo evitar que el correo llegue haciendo esto

Código:

if request.ServerVariables("HTTP_REFERER") <> "" then
   call sendmail (pCompany, pemailSender, pemailadmin, "Error temporal en la página", "Equipo de soporte, " &VBCrlf& "Ocurrió un error en el sistema: " &request.querystring("error")&VBCrlf& "Referido desde: "&request.ServerVariables("HTTP_REFERER")&VBCrlf& "IP: "&request.ServerVariables("REMOTE_HOST")&VBCrlf& "navegador: "&request.ServerVariables("HTTP_USER_AGENT"),"N")
End if

Sin embargo, el ASP seguirá ejecutandose 100 veces al día, solo que yo no recibiré los correos...¿me explico?

Quisiera tener una forma de evitar la ejecución, no de ignorarla...

Saludos y gracias,
Luis

Shiryu_Libra · #12 (**permalink**) 10/11/2007, 14:04

pero un momento, antes que nada la ejecucion del envio de error es debido a que alguien esta tratando de insertar datos mediante un formulario que de copy/paste, tratando de realizar la ejecucion de insercion, debido a esto TU CODIGO de validacion, envia este mensaje

creo que seria cuestion de verificar estos parametros antes de realizar tu envio de errores

yo empezaria por ese lado

luisvasquez · #13 (**permalink**) 10/11/2007, 14:14

Cita:

Iniciado por Shiryu_Libra

pero un momento, antes que nada la ejecucion del envio de error es debido a que alguien esta tratando de insertar datos mediante un formulario que de copy/paste, tratando de realizar la ejecucion de insercion, debido a esto TU CODIGO de validacion, envia este mensaje

creo que seria cuestion de verificar estos parametros antes de realizar tu envio de errores

yo empezaria por ese lado

Lo que pensé en principio era que alguien ejecutaba el ASP para registrarse y como fallaba, este redireccionaba al ASP que envía el e-mail con el error, luego me di cuenta de que no es asi, porque el mensaje que llega sigue idéntico aun cuando cambio algunos detalles en el SQL.

Resumen: Tengo 1 ASP de registro de usuarios y otro ASP que envía el correo cuando hay un error. El primero hace en response.redirect al segundo cuando hay un error.

La conclusión a la que luego llegué, es que no están intentando ejecutar el ASP de registro, sino, directamente, el ASP que envía el error.

Ahora bien, con lo mostrado anteriormente evito que me llegue el mensaje de error, pero no evito la ejecución.

Saludos,
Luis

u_goldman · #14 (**permalink**) 11/11/2007, 21:12

Podrias pegar el codigo que estan ejecutando?

luisvasquez · #15 (**permalink**) 12/11/2007, 21:23

Código:

<%

on error resume next

if request.ServerVariables("HTTP_REFERER") <> "" then
   call sendmail (pCompany, pemailSender, pemailadmin, "Error temporal en la página", "Equipo de soporte, " &VBCrlf& "Ocurrió un error en el sistema: " &request.querystring("error")&VBCrlf& "Referido desde: "&request.ServerVariables("HTTP_REFERER")&VBCrlf& "IP: "&request.ServerVariables("REMOTE_HOST")&VBCrlf& "navegador: "&request.ServerVariables("HTTP_USER_AGENT"),"N")
End if

%>



<font face="Arial, Helvetica, sans-serif" size="2">
<b>Temporal Error</b>
</font><br>



  <font face="Arial, Helvetica, sans-serif" size="2">
    <%response.write  ("Error en la página:"&request.querystring("error")%>
  </font>

Este es el código...como puedes ver, es solo una rutina que envía un correo...

Saludos,
Luis

u_goldman · #16 (**permalink**) 12/11/2007, 22:03

No, a lo que me referia es al codigo que llama a esa rutina

luisvasquez · #17 (**permalink**) 13/11/2007, 13:49

Cita:

Iniciado por u_goldman

No, a lo que me referia es al codigo que llama a esa rutina

Oops...disculpa..

Código:

<% 

on error resume next

dim  mySQL, conntemp, rstemp

if request.ServerVariables("HTTP_REFERER") <> "http://www.diloconflores.com/store/comersus_customerregistrationform.asp" then request.redirect("comersus_supporterror.asp?error=Detectado")

' form parameters

pcustomerName		= replace(request.form("customerName"),"'"," ")

pcustomerlast_name  = replace(request.form("customerlast_Name"),"'"," ")

pcustomer_fecha_nac = request.form("txtDia")&"/"&request.Form("cboMes")&"/"&request.Form("txtAno")

pcustomer_sexo 		= request.Form("optSexo")

pemail				= request.form("email")

'ppassword			= enDeCrypt(request.form("password"), pEncryptionPassword)

ppassword			= replace(request.form("password"),"'"," ")

pphone				= request.form("phone")

pcity				= replace(request.form("city"),"'"," ")

pzip				= replace(request.form("zip"),"'"," ")

pcountry			= request.form("country")

pstate				= replace(request.form("state"),"'"," ")

paddress			= replace(request.form("address"),"'"," ")

pIp      			= request.ServerVariables("REMOTE_HOST")
pIp                 = request.ServerVariables("HTTP_REFERER")
fecha_reg			= date()
call openDb()



' check if email exists

mySQL="SELECT idcustomer FROM customers WHERE email='" &pEmail&"'"


set rstemp=conntemp.execute(mySQL)
if err.number <> 0 then
 response.redirect "comersus_supporterror.asp?error="& Server.Urlencode("Error 1 in customerregistrationexec: "&Err.Description) 
end If



if not rstemp.eof then
 response.redirect "comersus_message.asp?message=11" ' no existe el email en la base de datos
end if

' inserta los datos del cliente OJO...ES AQUI DONDE SUPONÍA QUE OCURRÍA EL ERROR DE VALINTINO GUXXI, PERO POR LO QUE HE PODIDO VER, SOLO ESTÁ EJECUTANDO DIRECTAMENTE EL comersus_supporterror.asp?error='ERROR'

mySQL="InSeRt INTO customers (name, last_name, fecha_nac, sexo, email, city, country, phone, address, zip, password, state , ip, fecha_reg,customerType) VALUES ('" &pcustomerName& "','" &pcustomerlast_Name& "','" &pcustomer_fecha_nac& "','"&pcustomer_sexo& "','" &pemail& "','" &pcity& "', '" &pcountry& "','" &pphone& "','" &paddress& "','" &pzip& "','" &ppassword& "','" &pstate& "','" &pip& "','"&fecha_reg&"',0)"
set rstemp=conntemp.execute(mySQL)
if err.number <> 0 then
 response.redirect "comersus_supporterror.asp?error="& Server.Urlencode(mysql&Err.Description&request.ServerVariables("HTTP_REFERER"))
end If

Shiryu_Libra · #18 (**permalink**) 13/11/2007, 14:28

5 dolares por inscribirse???, que generoso, con razon se quiere inscribir a como de lugar el travieso de valentinno guxxi

FNX_NET · #19 (**permalink**) 13/11/2007, 14:40

Cita:

Iniciado por luisvasquez

Estimados Amigos,

Tengo un sitio en ASP que envía u email al administrador (a mi) cuando ocurre un error en el manejo de la base de datos, es decir, un insert, update, select o cualquier otra instrucción SQL.

Desde hace unos 15 días estoy recibiendo un correo en el cual un usuario intenta registrarse y falla en el Insert. El error indica que existen campos cuyo criterio no coinciden.

Support,
There are errors in your Comersus Store:
INSERT INTO customers (name, last_name, fecha_nac, sexo, email, city, country, phone, address, zip, password, state , ip, fecha_reg,customerType) VALUES ('','Valintino','//','M, F','[email protected]','', '','','Hello, Your site is great. http://www.abra1.com <a href="http://www.abra2.com">abra2</a> abra3 http://www.abra4.com Regards, Valintino Guxxi','','','','124.155.113.21','10/27/2007',0)[Microsoft][ODBC Microsoft Access Driver] Data type mismatch in criteria expression.

Lo extraño es que este formulario valida los campos y algunos de ellos están vacíos a la hora de hacer el insert. La fecha de registro y la IP del usuario siempre son las mismas.

Intenté bloquear al usuario usando la IP, pero no funcionó. Luego usé request.ServerVariables("HTTP_REFERER") para que solo si viene desde una página especifica (la página anterior) lo dejara pasar..sin embargo TAMPOCO funcionó.

Luego, hice una modificación en el SQL para observar el cambio y mis sospechas fueron ciertas...el SQL que está intentando ejecutar este intruso NO ES EL MISMO QUE ESTÁ EN MI WEB!

...al parecer se copiaron el SQL y pretenden ejecutarlo de forma automática.

En vista de esto, busqué en google 'Valintino Guxxi' que, como pueden ver, aparece en el error como parte de los datos que intentan insertar, y me aparecieron 159,000 ocurrencias...me da la impresión de que este señor es más famoso de lo que yo pensaba...ha logrado insertar comentarios en Blogs, respuestas en foros, etc

A pesar de los 159,000 ocurrencias, no encontré nada sobre como evitarlo...

Alguna idea??

Saludos y muchas gracias,
Luis Vásquez

te siguiero que tengas cuidado ya que usas una base de datos como acces que enrealdad es un archivo muy inseguro, el que se quiere meter creo que no se dio cuenta de esto, pero una persona que sepa mas si y te la rompera en pedasos, te suguiero que cambies la base de datos por otra

eso

u_goldman · #20 (**permalink**) 13/11/2007, 14:51

Hola Luis, una pregunta, por que dices que está ejecutando directamente la página de error? a mi me suena como que efectivamente está ejecutando este script envíando técnicas de SQL injection, para comenzar yo te sugeriría que parametrizaras esas dos consultas.

Recuerda que si dices que lo ejecuta directamente basado en que el referer llega vacio es incorrecto, pues el referer solo escribirá en los headers si es disparado por una acción en el cliente, por lo cuál un redirect no tendrá referer.

Saludos

luisvasquez · #21 (**permalink**) 14/11/2007, 15:31

Cita:

Iniciado por u_goldman

Hola Luis, una pregunta, por que dices que está ejecutando directamente la página de error? a mi me suena como que efectivamente está ejecutando este script envíando técnicas de SQL injection, para comenzar yo te sugeriría que parametrizaras esas dos consultas.

Recuerda que si dices que lo ejecuta directamente basado en que el referer llega vacio es incorrecto, pues el referer solo escribirá en los headers si es disparado por una acción en el cliente, por lo cuál un redirect no tendrá referer.

Saludos

Gracias...en realidad digo que se ejecuta directamente el customer_support.asp basandome en un pequeño cambio que hice en el SQL

mySQL="InSeRt INTO customers .... (cambié unas mayúsculas por minúsculas)

y el error siempre llega con el SQL en mayúsculas (como estaba originalmente)

Por lo que he podido ver, el valintino es básicamente un spammer y si conoce comersus, debe saber que al invocar directamente a comersus_supporterror.asp debe llegarme un correo con cualquier cosa que el escriba en el querystring "error"

Saludos,
Luis

dobled · #22 (**permalink**) 15/11/2007, 09:33

a mi hace un tiempo atras unos peruanos malditos del Team Ice Breack parece me modificaron un solo campo de una tabla noticias, perdi todos los titulos. La verdad que tambien me interesa el tema de los insert seguros.