Les caractéristiques du site web sont qu’il n’y a plus de fichiers suspects dans les fichiers du site, et que le site est essentiellement une architecture ASP+SQLSserver. Ouvrez la base de données depuis le gestionnaire d’entreprise, et vous pouvez voir que le script Trojan a été ajouté au script de la base de données et aux caractères de champ.
Ouvrez le journal du site web et vous verrez que le code a été ajouté via injection SQL.
Impossible, d’abord supprime le script via l’analyseur de requêtes, heureusement, le hacker suspend le cheval reste relativement régulier, tu peux le supprimer d’un coup, écrire le script de compensation pour chaque table de la base de données dans l’analyseur de requêtes, puis l’exécuter en même temps, d’accord, ouvrir le site, le monde est propre. Le script de compensation est donné ci-dessous :
UPDATE table name set champ = REPLACE(nom champ, URL hacker ,)
Si le champ infecté est du texte, cela devient plus problématique, et certaines données peuvent être perdues lors du processus de conversion pour convertir le type de texte en varchar(8000) via la fonction de conversion
Après avoir vidé, le script SQL de nettoyage sera sauvegardé, tout est en ordre ? Après deux heures, le site web est de nouveau raccroché !
J’ai dû relancer l’analyseur de requêtes, exécuter le script, puis le vider. C’est vraiment clair, mais les gens doivent toujours dormir, donc on ne peut pas attraper les secrets avec les hackers.
Soudain, en pensant qu’il s’agit de la bibliothèque SQLSERVER, Microsoft doit avoir une solution, nous ne pouvons pas l’empêcher de regarder la base de données pour accrocher un cheval de Troie, mais nous pouvons la rendre infructueuse. Ça, c’est avec les déclencheurs !
Quiconque connaît les triggers sait que sql2000 insère et modifie d’abord les données dans la table temporaire insérée, puis les place effectivement dans la table correspondante. Bloquer les pas des hackers est dans cette table temporaire !
Le code du cheval suspendu du hacker contient ce mot, car ce n’est qu’ainsi que le client peut ouvrir le site en même temps pour accéder au grand site du hacker, alors commençons par ici.
Le code de déclenchement est indiqué ci-dessous :
Nom du déclencheur CREATE
Nom sur le tableau
Pour la mise à jour, insérer
comme
déclare @a varchar(100) - champ de stockage 1
déclare @b varchar(100) - Champ de stockage 2
déclare @c varchar(100) -- place champ 3
select @a=Champ 1, @b=Champ 2, @c=Champ3 de inséré
if(@a comme %script % ou @b comme %script % ou @c comme %script)
Début
Transaction ROLLBACK
Fin
Le but de ce déclencheur est de définir d’abord trois variables et de stocker les trois facilement stockables dans la table insérée
Le champ de type chaîne que le hacker a démarré, puis utilisé, aime juger en flou si la valeur contient le mot script, et si oui, annuler la transaction sans signaler d’erreur, afin de paralyser le hacker et lui faire croire à tort qu’il a bloqué le cheval.
Les amis qui ont été raccrochés peuvent prendre ce script et le modifier en conséquence, ce qui devrait garantir que le site web ne soit pas bloqué. De plus, il existe aussi un type de texte pour les champs faciles à suspendre, mais ce type est plus difficile à gérer, et il a été observé que les hackers suspendent souvent plusieurs champs en même temps pour suspendre une table, donc tant qu’un champ échoue, toute la table échoue |
Publié sur 08/02/2015 12:29:37
|
|
|
