Karakteristik situs web adalah tidak ada lagi file yang mencurigakan di file situs web, dan situs web pada dasarnya adalah arsitektur ASP+SQLSserver. Buka database dari manajer perusahaan, dan Anda dapat melihat bahwa Trojan skrip telah ditambahkan ke skrip database dan karakter bidang.
Buka log situs web dan Anda dapat melihat bahwa kode ditambahkan melalui injeksi SQL.
Tidak mungkin, pertama-tama hapus skrip melalui query analyzer, untungnya, hacker menggantung kuda masih relatif teratur, Anda dapat menghapusnya sekaligus, menulis skrip clearing untuk setiap tabel di database di query analyzer, lalu eksekusi sekaligus, oke, buka websitenya, dunianya bersih. Skrip pembersihan diberikan di bawah ini:
UPDATE nama tabel set nama bidang nama bidang = REPLACE(nama bidang, url peretas ,)
Jika bidang yang terinfeksi adalah teks, itu lebih merepotkan, dan beberapa data mungkin hilang selama proses konversi untuk mengonversi jenis teks ke varchar(8000) melalui fungsi konversi
Setelah dibersihkan, skrip sql yang dibersihkan akan disimpan, apakah semuanya baik-baik saja, setelah dua jam, situs web telah ditutup lagi!
Saya harus menjalankan penganalisis kueri lagi, menjalankan skrip, dan menghapusnya. Sangat jelas, tetapi orang selalu harus tidur, jadi Anda tidak dapat menangkap rahasia di sana dengan peretas.
Tiba-tiba berpikir bahwa ini adalah perpustakaan sqlserver, Microsoft pasti memiliki solusi, kita tidak bisa menghentikannya untuk melihat database untuk menggantung Trojan horse, tetapi kita bisa membuatnya tidak berhasil. Itu dengan pemicu!
Siapa pun yang akrab dengan pemicu tahu bahwa sql2000 menyisipkan dan memodifikasi data dalam tabel sementara yang disisipkan terlebih dahulu, dan kemudian benar-benar meletakkannya di tabel yang sesuai. Memblokir jejak peretas ada di tabel sementara ini!
Kode kuda gantung peretas memiliki kata ini di dalamnya, karena hanya dengan cara ini klien dapat membuka situs web pada saat yang sama untuk mencapai situs web peretas besar, jadi mari kita mulai di sini.
Kode pemicu diberikan di bawah ini:
Nama pemicu CREATE
pada nama tabel
untuk pembaruan, sisipkan
sebagai
Deklarasikan @a varchar(100) - Kolom toko 1
Deklarasikan @b varchar(100) - Kolom toko 2
Deklarasikan @c varchar(100) -- Simpan bidang 3
pilih @a=Bidang 1, @b=Bidang 2, @c=Bidang 3 dari dimasukkan
if(@a menyukai %script% atau @b seperti %script% atau @c seperti %script%)
mulai
Transaksi ROLLBACK
akhir
Arti dari pemicu ini adalah terlebih dahulu mendefinisikan tiga variabel dan menyimpan ketiganya dengan mudah disimpan dalam tabel yang disisipkan
Bidang tipe string yang dimulai peretas, dan kemudian gunakan seperti untuk menilai secara kabur apakah nilai tersebut berisi skrip kata, dan jika demikian, putar kembali transaksi tanpa melaporkan kesalahan, sehingga melumpuhkan peretas dan membuatnya salah berpikir bahwa dia telah menutup kuda.
Teman yang telah digantung dapat mengambil skrip ini dan memodifikasinya sesuai dengan itu, yang akan memastikan bahwa situs web tidak ditutup. Selain itu, ada juga jenis teks untuk bidang yang mudah digantung, tetapi jenis ini lebih merepotkan untuk ditangani, dan telah diamati bahwa peretas sering menggantung beberapa bidang secara bersamaan untuk menggantung meja, jadi selama satu bidang tidak berhasil, seluruh tabel tidak berhasil |
Diposting pada 08/02/2015 12.29.37
|
|
|
