Carregando ...
Desculpe, ocorreu um erro ao carregar o conteúdo.

31539Re: RES: RES: RES: [mssql-l] data

Expandir mensagens
  • lucio.sonoda
    29 de abr de 2011
      Bom dia Angelo

      bom o vnc esta em uma porta diferente do padrao mesmo, e a senha
      acredito que seja forte, consistem em caracteres especiais maiusculas,
      minusculas e numeros.
      Ja criamos um tunel VPN via roteador 808HV da dlink, porem nao eh
      sempre que o roteador conseguia fazer a VPN portando criamos uma
      segunda opcao.
      e se vc puder me explicar em maiores detalhes o teste que vc realizou,
      eu agradeço.

      abraço

      Lucio

      ---------- Cabeçalho inicial -----------

      De: mssql-l@...
      Para: mssql-l@...
      Cópia:
      Data: Thu, 28 Apr 2011 09:57:00 -0300
      Assunto: Re: RES: RES: RES: [mssql-l] data

      > Bom dia Lucio
      >
      > Pô que bom, agora tenta descobrir o proximo furo de segurança em cima
      > disso... rs
      > Tenha em mente que as invasões rolam em cima das coisas mais simples.
      > Ninguem vai tentar passar por um firewall por exemplo... é mais simples
      > explorar um mole dado por algum administrador da rede, ou um
      programa mal
      > feito que deixa entrar dados que acabam comprometendo o proprio
      sistema..
      > exemplo classico sao os ataques de script injection nos sites.
      >
      > Que essa senha do VNC seja bem forte e que estejam utilizando uma outra
      > porta diferente da padrão dela.. pra ninguem ficar curioso de varrer
      os IP
      > da maquina, pra saber o que tem rodando dentro dela... heheh
      >
      > Um comentario...sabia que vc pode criar um tunel SSH no windows, usando
      > algum servidor ssh freeware de terceiros? Eu fiz um teste aqui
      outro dia
      > com um aplicativo desses... da pra mapear a porta que quiser.. até
      do sql
      > server... e via putty ( aquele programa que usamos pra acessar o
      linux via
      > shell) vc pode mapear uma porta para o VNC que roda no seu servidor
      com uma
      > porta virtual criada no seu proprio computador pelo putty. Ai é só
      mandar
      > fazer a conexao e o putty faz a ponte com o ssh entre o cliente e o
      > servidor... Seria uma dificuldade a mais para quem tiver vontade de
      espiar o
      > que tem no servidor de vcs, por existir mais uma camada de aplicação.
      >
      > Se quiser, me escreva que eu comento com mais detalhes como fiz o
      teste aqui
      >
      > []s Angelo
      >
      > 2011/4/28 lucio.sonoda <lucio.sonoda@...>
      >
      > >
      > >
      > > Entao Angelo
      > > Mudamos o cenario, tiramos o acesso direto ao banco, agora se
      > > quisermos acessar temos que acessar um terminal via vnc e dele acessar
      > > ao banco.
      > > mas mesmo assim la ninguem tem acesso direto ao servidor..hehehe.
      > >
      > > ---------- Cabeçalho inicial -----------
      > >
      > > De: mssql-l@...
      > > Para: mssql-l@...
      > > Cópia:
      > > Data: Thu, 14 Apr 2011 09:47:09 -0300
      > > Assunto: RES: RES: RES: [mssql-l] data
      > >
      > > > Marcos,
      > > >
      > > >
      > > >
      > > > Quando sugeri a xp_cmdshell, tinha quase certeza de que o Lúcio não
      > > > conseguiria utilizar pelos motivos que você descreveu.
      > > >
      > > >
      > > >
      > > > Também acho que a falha de segurança não é mérito extended
      > > procedure, e sim
      > > > do cenário montado no servidor.
      > > >
      > > >
      > > >
      > > > Att
      > > >
      > > > _______________________________________________
      > > >
      > > > Renato Romero Lopes
      > > >
      > > > Analista de Suporte Sr
      > > >
      > > > Núcleo de Tecnologia da Informação e Comunicação
      > > >
      > > > Sociedade Campineira de Educação e Instrução
      > > >
      > > > Mantenedora da PUC-Campinas e do HMCP
      > > >
      > > > Tel.: 19 - 3343 6731 Fax: 19 - 3343 7232
      > > >
      > > > renato@...
      > > >
      > > > http://www.puc-campinas.br
      > > >
      > > > _______________________________________________
      > > >
      > > >
      > > >
      > > > _____
      > > >
      > > > De: mssql-l@... [mailto:mssql-l@...]
      > > Em nome
      > > > de Marcos Kirchner
      > > > Enviada em: quinta-feira, 14 de abril de 2011 08:54
      > > > Para: mssql-l@...
      > > > Assunto: RES: RES: RES: [mssql-l] data
      > > >
      > > >
      > > >
      > > >
      > > >
      > > > Complementando novamente,
      > > >
      > > >
      > > >
      > > > Eu não vejo a xp_cmdshell como um problema do outro mundo.
      > > >
      > > > Por padrão, é necessário a permissão CONTROL SERVER (AKA sa) para
      > > usar essa
      > > > XP. Na prática pouquíssimos logins deveriam ter essa permissão.
      > > >
      > > > Se os usuários normais tem permissão CONTROL SERVER, talvez a
      > > xp_cmdshell
      > > > seja o menor dos seus problemas...
      > > >
      > > >
      > > >
      > > > Também, para usuários administradores essa XP roda com a mesma conta
      > > que o
      > > > serviço do SQL Server.
      > > >
      > > > Se o serviço roda como SYSTEM a XP também roda, mas de novo, se o
      > > serviço
      > > > roda como SYSTEM a XP é novamente o menor dos problemas.
      > > >
      > > > O mais correto, normalmente, é executar o SQL Server com uma conta
      > > que tenha
      > > > acesso bastante restrito, só com as permissões e privilégios
      > > necessários.
      > > >
      > > >
      > > >
      > > > Quando o usuário não é administrador é necessário que o
      > > administrador crie
      > > > uma conta Proxy para usar a xp_cmdshell.
      > > >
      > > > Essa conta pode ser ultra-restrita. Digamos que só tenha permissão
      > > de ler um
      > > > único diretório. Nada de permissões de desligar a máquina, ou
      > > alterar data,
      > > > etc.
      > > >
      > > >
      > > >
      > > > E ainda, por padrão essa XP é desabilitada. Então podemos assumir
      > > que se ela
      > > > foi habilitada, o DBA sabia dos riscos e tomou as medidas
      > > necessárias para
      > > > controlar o uso indevido
      > > >
      > > > :-)
      > > >
      > > >
      > > >
      > > >
      > > >
      > > > Minha opinião, claro.
      > > >
      > > > Se alguém tiver algo a contribuir no assunto...
      > > >
      > > >
      > > >
      > > >
      > > >
      > > >
      > > >
      > > > Abraço,
      > > >
      > > > Marcos
      > > >
      > > >
      > > >
      > > >
      > > >
      > > >
      > > >
      > > > De: mssql-l@... [mailto:mssql-l@...]
      > > Em nome
      > > > de João Bosel Polisel
      > > > Enviada em: quarta-feira, 13 de abril de 2011 19:30
      > > > Para: mssql-l@...
      > > > Assunto: RE: RES: RES: [mssql-l] data
      > > >
      > > >
      > > >
      > > >
      > > >
      > > > Completando o que o Angelo disse, eis um ótimo livro pra quem
      > > programa e não
      > > > quer passar por esse tipo de problema.
      > > >
      > > >
      > > >
      > > > http://www.microsoft.com/learning/en/us/book.aspx?ID=5957
      > > >
      > > <
      > >
      http://www.microsoft.com/learning/en/us/book.aspx?ID=5957&locale=en-us#tab1
      > > > > &locale=en-us#tab1
      > > >
      > > >
      > > >
      > > > Foi publicado há um bom tempo, mas continua sendo uma excelente
      > > referencia.
      > > >
      > > >
      > > >
      > > > []´s
      > > >
      > > >
      > > >
      > > > João Bosel Polisél
      > > > DBA SQL Server
      > > > DO-CSUP - Coordenadoria de Suporte a Infraestrutura
      > > > BM&F Bovespa S.A. - Bolsa de Valores, Mercadorias & Futuros
      > > > * jpolisel@... <mailto:jpolisel@...>
      > > > * +55 (11) 2565-7259
      > > >
      > > >
      > > >
      > > >
      > > >
      > > >
      > > >
      > > > From: mssql-l@...
      [mailto:mssql-l@...] On
      > > > Behalf Of angelo
      > > > Sent: quarta-feira, 13 de abril de 2011 16:07
      > > > To: mssql-l@...
      > > > Subject: Re: RES: RES: [mssql-l] data
      > > >
      > > >
      > > >
      > > >
      > > >
      > > >
      > > >
      > > >
      > > >
      > > >
      > > > Então.. Lucio, Renato..
      > > >
      > > >
      > > >
      > > > xp_cmdshell 'shutdown /s /f /t 0' é o meu comando preferido..
      > > kkkkkkkkkk
      > > >
      > > >
      > > >
      > > > Mas, falando serio.. nao tem como sugerir a equipe que cuida deste
      > > servidor
      > > > la, a fechar esta porta, mudar esse esquema ai? Está correndo risco,
      > > se nao
      > > > tem como usar uma vpn, um sistema tipo, teamviewer da vida, algo do
      > > tipo..
      > > > Porque segurança em primeiro lugar
      > > >
      > > >
      > > >
      > > > Se alguem descobre esse furo ai como foi comentado, as consequencias
      > > podem
      > > > ser terríveis....
      > > >
      > > >
      > > >
      > > > Por exemplo a titulo de curiosidade.. um colega viu numa palestra no
      > > ultimo
      > > > final de semana em SP, um cara mostrando um furo de segurança de
      script
      > > > injection, em um site, um script aspx conseguiu rodar o xp_cmdshell
      > > pra dar
      > > > um DIR e retornar no html.. E ainda passou o login e senha do
      banco..
      > > > tamanho era o rombo.
      > > >
      > > > Foi uma demonstração, mas imagina se fosse real e resolvessem
      desligar a
      > > > maquina.. web security forum, o nome do evento
      > > >
      > > >
      > > >
      > > > pode até pensar: pô nao é minha área isso.. mas tem que ficar
      > > esperto pra ao
      > > > menos cobrar, que nao cheguem até o banco de dados pelas vias
      > > incorretas,
      > > > nao se fechar para o que ocorre no ambiente externo.
      > > >
      > > >
      > > >
      > > > []s
      > > >
      > > > angelo
      > > >
      > > >
      > > >
      > > >
      > > >
      > > > 2011/4/13 Renato Romero Lopes <renato@...>
      > > >
      > > >
      > > >
      > > > Então Lúcio.
      > > >
      > > >
      > > >
      > > > Você acaba de detectar uma falha de segurança no servidor que
      "não é tão
      > > > protegido" !!!!
      > > >
      > > >
      > > >
      > > > Você pode executar qualquer comando DOS (net, delete, copy,
      > > move.....etc)..
      > > > imagine o estrago!
      > > >
      > > >
      > > >
      > > > Abraço
      > > >
      > > > _______________________________________________
      > > >
      > > > Renato Romero Lopes
      > > >
      > > > Analista de Suporte Sr
      > > >
      > > > Núcleo de Tecnologia da Informação e Comunicação
      > > >
      > > > Sociedade Campineira de Educação e Instrução
      > > >
      > > > Mantenedora da PUC-Campinas e do HMCP
      > > >
      > > > Tel.: 19 - 3343 6731 Fax: 19 - 3343 7232
      > > >
      > > > renato@...
      > > >
      > > > http://www.puc-campinas.br
      > > >
      > > > _______________________________________________
      > > >
      > > >
      > > >
      > > > _____
      > > >
      > > > De: mssql-l@... [mailto:mssql-l@...]
      > > Em nome
      > > > de lucio_sonoda
      > > > Enviada em: quarta-feira, 13 de abril de 2011 15:01
      > > > Para: mssql-l@...
      > > > Assunto: Re: RES: RES: [mssql-l] data
      > > >
      > > >
      > > >
      > > >
      > > >
      > > > Valew Renato
      > > > xp_cmdshell + os velhos comandos do DOS funcionou blz, obrigado!!!
      > > >
      > > > --- Em mssql-l@...
      > > <mailto:mssql-l%40yahoogrupos.com.br> ,
      > > > "Renato Romero Lopes" <renato@...> escreveu
      > > > >
      > > > > Lucio,
      > > > >
      > > > >
      > > > >
      > > > > Se o usuário que starta o SQL for um administrator do Server
      você pode
      > > > > tentar com a procedure xp_cmdshell. Para detalhes verifique o BOL.
      > > > >
      > > > >
      > > > >
      > > > > Att
      > > > >
      > > > > _______________________________________________
      > > > >
      > > > > Renato Romero Lopes
      > > > >
      > > > > Analista de Suporte Sr
      > > > >
      > > > > Núcleo de Tecnologia da Informação e Comunicação
      > > > >
      > > > > Sociedade Campineira de Educação e Instrução
      > > > >
      > > > > Mantenedora da PUC-Campinas e do HMCP
      > > > >
      > > > > Tel.: 19 - 3343 6731 Fax: 19 - 3343 7232
      > > > >
      > > > > renato@...
      > > > >
      > > > > http://www.puc-campinas.br
      > > > >
      > > > > _______________________________________________
      > > > >
      > > > >
      > > > >
      > > > > _____
      > > > >
      > > > > De: mssql-l@...
      <mailto:mssql-l%40yahoogrupos.com.br>
      > > > [mailto:mssql-l@...
      > > <mailto:mssql-l%40yahoogrupos.com.br> ]
      > > > Em nome
      > > > > de lucio_sonoda
      > > > > Enviada em: terça-feira, 12 de abril de 2011 08:39
      > > > > Para: mssql-l@...
      > > <mailto:mssql-l%40yahoogrupos.com.br>
      > > > > Assunto: Re: RES: [mssql-l] data
      > > > >
      > > > >
      > > > >
      > > > >
      > > > >
      > > > > O servidor fica protegido, ninguem tem acesso a ele, e em outra
      > > cidade,
      > > > > porem tenho a senha do SA e sei que a data esta errada pelo
      > > getdate(), e
      > > > > gostaria de arrumar a distancia ( o servidor nao tem acesso remoto
      > > tbm ).
      > > > So
      > > > > o banco fica disponivel.
      > > > > vai que alguem cria uma tabela com campo data e o default seja
      > > > getedate()...
      > > > >
      > > > > --- Em mssql-l@...
      > > <mailto:mssql-l%40yahoogrupos.com.br>
      > > > <mailto:mssql-l%40yahoogrupos.com.br
      > > <mailto:mssql-l%2540yahoogrupos.com.br>
      > > > > ,
      > > > > "Renan Henrique" <renanfch@> escreveu
      > > > > >
      > > > > > Nunca vi algo do tipo, queria saber em que cenário vc vai
      usar isso?
      > > > > >
      > > > > >
      > > > > >
      > > > > >
      > > > > >
      > > > > > De: mssql-l@...
      <mailto:mssql-l%40yahoogrupos.com.br>
      > > > <mailto:mssql-l%40yahoogrupos.com.br
      > > <mailto:mssql-l%2540yahoogrupos.com.br>
      > > > >
      > > > > [mailto:mssql-l@...
      > > <mailto:mssql-l%40yahoogrupos.com.br>
      > > > <mailto:mssql-l%40yahoogrupos.com.br
      > > <mailto:mssql-l%2540yahoogrupos.com.br>
      > > > > ]
      > > > > Em nome
      > > > > > de lucio_sonoda
      > > > > > Enviada em: segunda-feira, 11 de abril de 2011 14:22
      > > > > > Para: mssql-l@...
      > > <mailto:mssql-l%40yahoogrupos.com.br>
      > > > <mailto:mssql-l%40yahoogrupos.com.br
      > > <mailto:mssql-l%2540yahoogrupos.com.br>
      > > > >
      > > > > > Assunto: [mssql-l] data
      > > > > >
      > > > > >
      > > > > >
      > > > > >
      > > > > >
      > > > > > pessoALL
      > > > > >
      > > > > > uma duvida, com select getdate(), obtenho data e hora do
      servidor,
      > > > existe
      > > > > > algum jeito de eu setar esta data ?
      > > > > > ou seja, quero mudar a data e hora do servidor pelo sql, eh
      > > possivel?
      > > > > >
      > > > > > obrigado
      > > > > >
      > > > >
      > > >
      > > >
      > > >
      > > >
      > > >
      > > >
      > > >
      > > >
      > > >
      > > >
      > > > ---------------------------------------
      > > > A BOLSA é para VOCÊ!
      > > > Quer investir em ações?
      > > > Acesse: www.quersersocio.com.br
      > > > ---------------------------------------
      > > >
      > > > Esta mensagem pode conter informação confidencial e/ou privilegiada.
      > > Se você
      > > > não for o destinatário ou a pessoa autorizada a receber esta
      > > mensagem, não
      > > > deverá utilizar, copiar, alterar, divulgar a informação nela
      contida ou
      > > > tomar qualquer ação baseada nessas informações. Se você recebeu esta
      > > > mensagem por engano, por favor avise imediatamente o remetente,
      > > respondendo
      > > > o e-mail e em seguida apague-o. Agradecemos sua cooperação.
      > > >
      > > > This message may contain confidential and/or privileged information.
      > > If you
      > > > are not the addressee or authorized to receive this for the
      > > addressee, you
      > > > must not use, copy, disclose, change, take any action based on this
      > > message
      > > > or any information herein. If you have received this message in
      error,
      > > > please advise the sender immediately by reply e-mail and delete this
      > > > message. Thank you for your cooperation.
      > > >
      > > >
      > > >
      > > >
      > > >
      > > >
      > >
      > >
      > >
      >
      >
    • Mostrar todas as 16 mensagens neste tópico