Sivuston ominaisuudet ovat, ettei tiedostoissa ole enää epäilyttäviä tiedostoja, ja sivusto on käytännössä ASP+SQLSserver-arkkitehtuuri. Avaa tietokanta enterprise managerista, ja näet, että skripti Trojan on lisätty tietokannan skriptiin ja kentän merkkeihin.
Avaa verkkosivuston loki ja näet, että koodi on lisätty SQL-injektion kautta.
Ei missään nimessä, poista ensin skripti kyselyanalysaattorin kautta, onneksi hakkeri roikkuu hevosen on edelleen melko säännöllinen, voit tyhjentää sen kerralla, kirjoittaa tyhjennysskriptin jokaiselle tietokannan taululle kyselyanalysaattorissa ja suorittaa se kerralla, okei, avaa verkkosivusto, maailma on puhdas. Puhdistuskirjoitus on esitetty alla:
PÄIVITÄ taulun nimi, set, kentän nimi = KORVAA (kentän nimi, hakkerin url, ,)
Jos tartunnan saanut kenttä on tekstiä, se on hankalampaa, ja osa datasta voi kadota muunnosprosessin aikana, kun tekstityypin muuntaminen varchar(8000):ksi muunnosfunktion kautta
Tyhjennyksen jälkeen clearing sql script tallentuu, kaikki on kunnossa, kahden tunnin jälkeen sivusto on taas jumittu!
Minun piti ajaa kyselyanalysaattori uudelleen, käynnistää skripti ja tyhjentää se. Se on todella selkeää, mutta ihmiset joutuvat aina nukkumaan, joten et voi saada salaisuuksia kiinni hakkereilta.
Yhtäkkiä ajattelee, että kyseessä on SQLerventerin kirjasto, Microsoftilla täytyy olla ratkaisu, emme voi estää sitä katsomasta tietokantaa ja asettamasta troijalaisen hevonen, mutta voimme tehdä siitä epäonnistumisen. Se on laukaisijoiden kanssa!
Jokainen, joka tuntee triggerit, tietää, että sql2000 lisää ja muokkaa ensin dataa lisättyyn väliaikaiseen taulukkoon, ja sitten laittaa sen oikeasti vastaavaan taulukkoon. Hakkerien askelten estäminen on tässä väliaikaisessa pöydässä!
Hacker hanging horse -koodissa on tämä sana, koska vain näin asiakas voi avata verkkosivuston samanaikaisesti ja iskeä isoon hakkerisivustoon, joten aloitetaan tästä.
Laukaisukoodi on annettu alla:
CREATE trigger -nimi
Pöydän nimi
Päivitystä varten, lisää
kuten
Declare @a Varchar(100) - Kauppakenttä 1
Declare @b Varchar(100) - Varastokenttä 2
Declare @c Varchar(100) -- Tallenna kenttä 3
valitse @a=Kenttä 1, @b=Kenttä 2, @c=Kenttä 3 lisätty
if (@a kuten %script% tai @b kuten %script% tai @c kuten %script)
Aloita
ROLLBACK-tapahtuma
loppu
Tämän laukaisimen tarkoitus on ensin määritellä kolme muuttujaa ja tallentaa ne helposti tallennettavaan taulukkoon
Merkkijonotyyppinen kenttä, jonka hakkeri aloitti ja jota hän käytti sumentuneesti arvioidakseen, sisältääkö arvo sanan skriptin, ja jos on, palauttaa tapahtuma ilman virheilmoitusta, jotta hakkeri lamaannuttaisi ja hän luulisi virheellisesti lopettaneensa asian.
Ystävät, jotka ovat olleet jumissa kiinni, voivat ottaa tämän käsikirjoituksen ja muokata sitä sen mukaan, mikä varmistaa, ettei sivusto jää jumiin. Lisäksi on olemassa tekstityyppi kentille, joita on helppo ripustaa, mutta tämä tyyppi on hankalampi, ja on havaittu, että hakkerit usein ripustavat useita kenttiä samanaikaisesti pöydän ripustamiseksi, joten niin kauan kuin yksi kenttä epäonnistuu, koko taulukko epäonnistuu |
Julkaistu 8.2.2015 12.29.37
|
|
|
