Die Eigenschaften der Website sind, dass es keine verdächtigen Dateien mehr in den Website-Dateien gibt und die Website im Grunde eine ASP+SQLSserver-Architektur ist. Öffnet man die Datenbank im Enterprise Manager, sieht man, dass das Skript Trojan zum Datenbankskript und den Feldzeichen hinzugefügt wurde.
Öffne das Website-Protokoll und du siehst, dass der Code per SQL-Injektion hinzugefügt wurde.
Auf keinen Fall, entferne zuerst das Skript über den Query-Analyzer, zum Glück hängt der Hacker – das Pferd ist immer noch relativ regelmäßig, du kannst es auf einmal löschen, das Clearing-Skript für jede Tabelle in der Datenbank im Query-Analyzer schreiben und es dann sofort ausführen, okay, öffne die Website, die Welt ist sauber. Das Clearing-Skript ist unten angegeben:
UPDATE Tabellenname Set Feldname = REPLACE(Feldname, Hacker-URL ,)
Wenn das infizierte Feld Text ist, ist das umständlicher, und während des Konvertierungsprozesses können einige Daten verloren gehen, um den Texttyp über die Konvertierungsfunktion in varchar(8000) umzuwandeln
Nach dem Löschen wird das Clearing-SQL-Skript gespeichert, ist alles in Ordnung? Nach zwei Stunden hängt die Website wieder auf!
Ich musste den Query-Analyzer erneut ausführen, das Skript ausführen und es löschen. Es ist wirklich klar, aber die Leute müssen immer schlafen, also kann man dort keine Geheimnisse mit Hackern finden.
Plötzlich denken sie, dass dies die SQL-Server-Bibliothek ist, Microsoft muss eine Lösung haben, wir können es nicht davon abhalten, die Datenbank anzuschauen, um einen trojanischen Pferd zu hängen, aber wir können es erfolglos machen. Das gilt für Auslöser!
Jeder, der mit Triggern vertraut ist, weiß, dass sql2000 zuerst Daten in der eingefügten temporären Tabelle einfügt und ändert und sie dann tatsächlich in die entsprechende Tabelle legt. Die Schritte von Hackern zu blockieren, ist in dieser temporären Tabelle!
Der Code des Hacker-Hanging Horse enthält dieses Wort, denn nur so kann der Client gleichzeitig die Website öffnen, um die große Hacker-Website zu treffen, also fangen wir hier an.
Der Auslösercode ist unten angegeben:
CREATE-Triggername
Auf dem Tischnamen
Für ein Update, einfügen
als
Erkläre @a Varchar(100) – Feld 1 speichern
Erkläre @b Varchar(100) – Feld 2 speichern
Declare @c varchar(100) – Feld 3 speichern
select @a=Feld 1, @b=Feld 2, @c=Feld3 aus eingefügt
Wenn (@a wie %script% oder @b wie %script% oder @c wie %script%)
Beginnen
ROLLBACK-Transaktion
Ende
Die Bedeutung dieses Triggers ist, zunächst drei Variablen zu definieren und die drei leicht in der eingefügten Tabelle zu speichern
Das String-Typ-Feld, das der Hacker gestartet hat und dann verwendet, um unscharf zu beurteilen, ob der Wert das Wortskript enthält, und falls ja, die Transaktion zurückzusetzen, ohne einen Fehler zu melden, um den Hacker zu lähmen und ihn fälschlicherweise glauben zu lassen, er hätte das Pferd an den Nagel gehängt.
Freunde, die aufgehängt wurden, können dieses Skript nehmen und entsprechend anpassen, was sicherstellen sollte, dass die Website nicht hängt. Zusätzlich gibt es auch einen Texttyp für Felder, die leicht zu hängen sind, aber dieser Typ ist umständlicher, und es wurde beobachtet, dass Hacker oft mehrere Felder gleichzeitig aufhängen, um eine Tabelle aufzuhängen, sodass die gesamte Tabelle erfolglos ist, solange ein Feld nicht erfolgreich ist, |
Veröffentlicht am 08.02.2015 12:29:37
|
|
|
