A weboldal jellemzői, hogy nincsenek több gyanús fájl a weboldal fájljaiban, és a weboldal lényegében ASP+SQLSserver architektúra. Nyitja meg az adatbázist az enterprise managerből, és láthatja, hogy a Trojan szkript hozzáadódott az adatbázis szkriptjéhez és a mezőkarakterekhez.
Nyisd meg a weboldal naplóját, és láthatod, hogy a kódot SQL injekcióval adták fel.
Semmiképp, először távolítsd el a szkriptet, a lekérdezési analizátoron keresztül, szerencsére a hacker leakasztja a lót, még viszonylag rendszeres, egyszerre törölheted, írhatod az adatbázis minden táblázatának törlési szkriptjét a lekérdezési analizátorban, majd azonnal futtatod, rendben, nyisd meg a weboldalt, a világ tiszta. Az áttisztítási szkriptet az alábbiakban található:
FRISSÍTÉS táblanév beállítása mező név = REPLACE (mező neve, hacker URL-je)
Ha a fertőzött mező szöveg, az problémásabb, és előfordulhat, hogy a szövegtípus átalakítása során a szövegtípus varchar(8000)-re történő átalakítása során a konvertáló függvényen keresztül néhány adat elveszhet
Törlés után a clearing SQL script mentődik, minden rendben van, két óra után a weboldal ismét leállt!
Újra le kellett futtatnom a lekérdezési analizátort, futtatni a szkriptet, és törölni. Nagyon világos, de az embereknek mindig aludniuk kell, így hackerekkel nem lehet titkokat elkapni.
Hirtelen azt gondolva, hogy ez a SQL Server könyvtára, a Microsoftnak kell lennie megoldásnak, nem tudjuk megakadályozni, hogy az adatbázisba nézzen, hogy trójai falót akasztson, de sikertelenné tehetjük. Ez a kiváltó okokkal van!
Aki ismeri a triggereket, tudja, hogy a sql2000 először az ideiglenes beillesztett táblába helyezi be és módosítja az adatokat, majd valójában a megfelelő táblába helyezi őket. A hackerek lépteit blokkolni ezen az ideiglenes asztalon van!
A hacker hanging horse kódjában ez a szó szerepel, mert csak így tudja az ügyfél egyszerre megnyitni a weboldalt, hogy elérje a nagy hacker weboldalt, szóval kezdjük itt.
A trigger kód az alábbiakban található:
CREATE trigger trigger név
A táblázat neve
Frissítéshez, add be
mint
Deklarál @a Varchar(100) - Áruház mező 1
Declare @b Varchar(100) - Áruház mező 2
Deklarál @c Varchar(100) -- Áruház 3. mező
select @a=1-es mező, @b=2-es mező, @c=3. mező beillesztett
if(@a például %script% vagy @b mint %script% vagy @c mint %script%)
Kezdeni
ROLLBACK tranzakció
vége
Ennek a triggernek az a célja, hogy először három változót definiálunk, és a hármat könnyen tároljuk a beillesztett táblázatban
A string típusú mező, amelyet a hacker indított, majd használta a hasonlót, hogy homályosan megítélje, tartalmazza-e az érték a script szót, és ha igen, vissza kell fordítani a tranzakciót anélkül, hogy hibát jelentene, így megbénítja a hackert, és tévesen azt higgye, hogy leakasztotta a lovat.
Azok a barátok, akiket már akasztottak, átvehetik ezt a szkriptet, és ennek megfelelően módosíthatják, így biztosíthatják, hogy az oldal ne akasztódik le. Ezen felül van egy szöveges típus is olyan mezőkhez, amelyeket könnyen felakaszthatnak, de ez a típus nehezebb, és megfigyelték, hogy a hackerek gyakran egyszerre több mezőt is felakasztanak egy asztal felakasztására, így amíg egy mező sikertelen, az egész tábla sikertelen |
Közzétéve 2015. 02. 08. 12:29:37
|
|
|
