Las características del sitio web son que ya no hay archivos sospechosos en los archivos del sitio, y el sitio web es básicamente arquitectura ASP+SQLSserver. Abre la base de datos desde el gestor de empresas y puedes ver que el troyano de script se ha añadido al script de la base de datos y a los caracteres de campo.
Abre el registro del sitio web y puedes ver que el código se añadió mediante inyección SQL.
De ninguna manera, primero elimina el script a través del analizador de consultas, afortunadamente el hacker se despierta y sigue siendo relativamente regular, puedes borrarlo de una vez, escribir el script de limpieza para cada tabla de la base de datos en el analizador de consultas y luego ejecutarlo de una vez, vale, abre la web, el mundo está limpio. El guion de compensación se muestra a continuación:
UPDATE tabla de nombres conjunto nombre de campo = REPLACE(nombre de campo, URL hacker ,)
Si el campo infectado es texto, es más problemático y puede perderse algunos datos durante el proceso de conversión para convertir el tipo de texto a varchar(8000) mediante la función de conversión
Después de limpiar, el script de limpieza SQL se guardará, ¿está todo bien? Después de dos horas, la web se ha colgado de nuevo.
Tuve que ejecutar el analizador de consultas de nuevo, ejecutar el script y borrarlo. Es muy claro, pero la gente siempre tiene que dormir, así que no puedes descubrir secretos ahí con hackers.
De repente, pensando que esto es la biblioteca sqlserver, Microsoft debe tener una solución, no podemos evitar que mire la base de datos para colgar un caballo de Troya, pero podemos hacer que no tenga éxito. ¡Eso es con los disparadores!
Cualquiera que conozca los triggers sabe que sql2000 inserta y modifica primero los datos en la tabla temporal insertada, y luego los coloca en la tabla correspondiente. ¡Bloquear los pasos de los hackers está en esta tabla temporal!
El código del caballo colgado del hacker tiene esta palabra, porque solo así el cliente puede abrir la web al mismo tiempo para acceder al sitio web del hacker importante, así que empecemos aquí.
El código de disparo se muestra a continuación:
Nombre del disparador CREATE
Nombre de la tabla
Para actualización, insertar
como
declarar @a varchar(100) - Campo de Almacenar 1
declarar @b varchar(100) - campo de almacenamiento 2
declara @c varchar(100) -- campo de venta 3
select @a=Campo 1, @b=Campo 2, @c=Campo3 de insertado
if(@a como %script% o @b como %script% o @c como %script)
Comienzo
Transacción ROLLBACK
fin
El significado de este disparador es primero definir tres variables y almacenar las tres fácilmente almacenadas en la tabla insertada
El campo tipo cadena que el hacker inició, y luego usar, le gusta juzgar borrosamente si el valor contiene la palabra script y, en caso afirmativo, revertir la transacción sin reportar un error, para paralizar al hacker y hacerle pensar erróneamente que ha colgado el caballo.
Los amigos que han sido colgados pueden tomar este guion y modificarlo en consecuencia, lo que debería asegurar que la web no se cuelgue. Además, también existe un tipo de texto para campos que son fáciles de colgar, pero este tipo es más complicado de manejar, y se ha observado que los hackers a menudo cuelgan varios campos a la vez para colgar una tabla, así que mientras un campo no tenga éxito, toda la tabla no tiene éxito |
Publicado en 8/2/2015 12:29:37
|
|
|
