Egenskaberne ved hjemmesiden er, at der ikke længere er mistænkelige filer i hjemmesidefilerne, og hjemmesiden er grundlæggende ASP+SQLSserver-arkitektur. Åbn databasen fra enterprise manager, og du kan se, at script-trojanen er blevet tilføjet til databasescriptet og felttegnene.
Åbn websiteloggen, og du kan se, at koden er tilføjet via SQL-injektion.
Ingen chance, fjern først scriptet gennem query analyzeren, heldigvis hænger hackeren hesten og det er stadig relativt regelmæssigt, du kan rydde det på én gang, skrive clearing-scriptet for hver tabel i databasen i query analyzeren, og så køre det med det samme, okay, åbn hjemmesiden, verden er ren. Clearing-scriptet er angivet nedenfor:
OPDATER tabelnavn sæt feltnavn = UDSKIFT(feltnavn, hacker url ,)
Hvis det inficerede felt er tekst, er det mere besværligt, og nogle data kan gå tabt under konverteringsprocessen for at konvertere teksttypen til varchar(8000) via konverteringsfunktionen
Efter clearing vil clearing sql-scriptet blive gemt, er alt i orden, efter to timer er hjemmesiden blevet låst igen!
Jeg måtte køre query analyzeren igen, køre scriptet og rydde det. Det er virkelig tydeligt, men folk skal altid sove, så man kan ikke fange hemmeligheder der med hackere.
Pludselig tænker man, at dette er SQL-serverbiblioteket, Microsoft må have en løsning, vi kan ikke stoppe det fra at kigge på databasen og hænge en trojansk hest op, men vi kan gøre det mislykket. Det er med triggere!
Alle, der kender til triggere, ved, at sql2000 først indsætter og ændrer data i den indsatte midlertidige tabel og derefter faktisk lægger dem i den tilsvarende tabel. At blokere hackernes fodtrin er i denne midlertidige tabel!
Koden til hacker-hængende hest indeholder dette ord, fordi kun på denne måde kan klienten åbne hjemmesiden samtidig for at ramme den store hacker-hjemmeside, så lad os starte her.
Triggerkoden er angivet nedenfor:
CREATE triggernavn
På bordets navn
Til opdatering, indsæt
som
Deklarer @a varchar(100) - opbevar felt 1
Deklarer @b varchar(100) - opbevar felt 2
Deklarer @c varchar(100) -- opbevar felt 3
vælg @a=Felt 1, @b=Felt 2, @c=Felt3 fra indsat
Hvis(@a som %script% eller @b som %script% eller @c som %script%)
Begynd
ROLLBACK-transaktion
slut
Betydningen af denne trigger er først at definere tre variable og gemme de tre, der let kan gemmes, i den indsatte tabel
Streng-typen, som hackeren startede, og derefter bruger til at vurdere om værdien indeholder ordscriptet, og hvis ja, rulle transaktionen tilbage uden at rapportere en fejl, så hackeren lammes og fejlagtigt tror, at han har lagt hesten på hylden.
Venner, der er blevet hængt på, kan tage dette script og tilpasse det derefter, hvilket bør sikre, at hjemmesiden ikke hænger op. Derudover findes der også en teksttype for felter, der er lette at hænge, men denne type er mere besværlig at håndtere, og det er observeret, at hackere ofte hænger flere felter op samtidig for at hænge en tabel, så så længe ét felt ikke lykkes, lykkes hele tabellen ikke |
Opslået på 08/02/2015 12.29.37
|
|
|
