Charakteristikou webu je, že v souborech webu už nejsou žádné podezřelé soubory a web je v podstatě architekturou ASP+SQLSserver. Otevřete databázi v enterprise manageru a uvidíte, že do skriptu databáze a pole byl přidán skript trojan.
Otevřete log webu a uvidíte, že kód byl přidán pomocí SQL injection.
Ani náhodou, nejdřív odstraňte skript přes analyzátor dotazů, naštěstí hacker zavěsí koně je stále poměrně pravidelný, můžete ho vymazat najednou, napsat skript pro každou tabulku v databázi do analyzátoru dotazů a pak ho hned spustit, dobře, otevřete web, svět je čistý. Skript pro vyrovnání je uveden níže:
UPDATE název tabulky, sad pole = REPLACE(field name, hacker url ,)
Pokud je infikované pole text, je to obtížnější a během konverzního procesu pro převod textového typu na varchar(8000) pomocí konverzní funkce mohou být ztracena některá data
Po vyčištění se uloží clearing sql skript, je vše v pořádku, po dvou hodinách je web zase zaseknutý!
Musel jsem znovu spustit analyzátor dotazů, spustit skript a vymazat ho. Je to opravdu jasné, ale lidé musí vždycky spát, takže tam s hackery tajemství neodhalíte.
Najednou si Microsoft myslí, že jde o knihovnu sqlserveru, musí mít řešení, nemůžeme mu zabránit, aby se podíval do databáze a zavěsil trojského koně, ale můžeme to udělat neúspěšným. To platí s triggery!
Kdokoli, kdo se vyzná v triggerech, ví, že sql2000 nejprve vkládá a upravuje data do vložené dočasné tabulky a pak je skutečně vkládá do příslušné tabulky. Blokování kroků hackerů je v této dočasné tabulce!
Kód hackerského visícího koně obsahuje toto slovo, protože jen tímto způsobem může klient současně otevřít webovou stránku a zaútočit na velkou hackerskou stránku, takže začněme zde.
Kód spouštěče je uveden níže:
Název spouštěče CREATE
na názvu stolu
pro aktualizaci, vložte
jako
Deklarujte @a varchar(100) - uložit pole 1
Deklarujte @b varchar(100) - uložit pole 2
Deklarujte @c varchar(100) -- uložit pole 3
vybrat @a=Pole 1, @b=Pole 2, @c=Pole 3 z vloženého
pokud (@a jako %script% nebo @b jako %script% nebo @c jako %script%)
začátek
Transakce ROLLBACK
konec
Význam tohoto spouštěče je nejprve definovat tři proměnné a uložit tři snadno uložené do vložené tabulky
Pole typu řetězce, které hacker začal, a pak použít like k nejasnému posouzení, zda hodnota obsahuje slovní skript, a pokud ano, vrátit transakci zpět bez hlášení chyby, aby hacker paralyzoval a mylně si myslel, že pověsil koně na hřebík.
Přátelé, kteří se zasekli, mohou tento skript upravit podle potřeby, což zajistí, že web nebude zaseknutý. Kromě toho existuje také textový typ pro pole, která se snadno zavěsí, ale tento typ je obtížnější na práci, a bylo pozorováno, že hackeři často zavěsí několik polí najednou, aby zavěsili tabulku, takže pokud jedno pole neuspěje, celá tabulka je neúspěšná |
Zveřejněno 08.02.2015 12:29:37
|
|
|
