Le caratteristiche del sito web sono che non ci sono più file sospetti nei file del sito web, e il sito è fondamentalmente un'architettura ASP+SQLSserver. Apri il database dal enterprise manager e puoi vedere che il Trojan dello script è stato aggiunto allo script del database e ai caratteri di campo.
Apri il log del sito web e puoi vedere che il codice è stato aggiunto tramite SQL injection.
Assolutamente no, prima rimuovi lo script tramite l'analizzatore di query, fortunatamente l'hacker si risolve è ancora relativamente regolare, puoi cancellarlo in una volta, scrivere lo script di clearing per ogni tabella nel database nell'analizzatore di query, e poi eseguirlo subito, ok, apri il sito web, il mondo è pulito. Lo script di compensazione è riportato di seguito:
UPDATE tabella name set nome campo = REPLACE(nome campo, URL hacker ,)
Se il campo contaminato è testo, è più complicato e alcuni dati possono andare persi durante il processo di conversione per convertire il tipo di testo in varchar(8000) tramite la funzione di conversione
Dopo aver svuotato, lo script di clearing sql verrà salvato, va tutto bene? Dopo due ore il sito web è stato ribloccato di nuovo!
Ho dovuto eseguire di nuovo l'analizzatore di query, eseguire lo script e cancellarlo. È davvero chiaro, ma la gente deve sempre dormire, quindi non puoi scoprire segreti lì con gli hacker.
Improvvisamente pensando che questa sia la libreria SQLSERVER, Microsoft deve avere una soluzione, non possiamo impedirgli di guardare il database per mettere in difficoltà un cavallo di, ma possiamo renderla inefficace. Questo con i trigger!
Chiunque conosca i trigger sa che sql2000 inserisce e modifica prima i dati nella tabella temporanea inserita, e poi li inserisce effettivamente nella tabella corrispondente. Bloccare le orme degli hacker è in questa tabella temporanea!
Il codice del cavallo appeso dell'hacker contiene questa parola, perché solo in questo modo il client può aprire il sito web contemporaneamente per colpire il grande sito hacker, quindi iniziamo da qui.
Il codice di trigger è riportato di seguito:
Nome del trigger CREATE
Nome del tavolo
Per aggiornamento, inserisci
come
dichiara @a varchar(100) - campo 1
dichiara @b varchar(100) - Campo 2 del store
dichiara @c varchar(100) -- store field 3
select @a=Campo 1, @b=Campo 2, @c=Campo3 da inserito
if(@a tipo %script% o @b tipo %script% o @c tipo %script)
inizio
Transazione ROLLBACK
fine
Il significato di questo trigger è prima definire tre variabili e memorizzare le tre facilmente memorizzabili nella tabella inserita
Il campo di tipo stringa che l'hacker ha avviato e poi usa, amano per giudicare in modo fuzzly se il valore contiene la parola script e, in tal caso, annullare la transazione senza segnalare errori, così da paralizzare l'hacker e fargli pensare erroneamente di aver bloccato il problema.
Gli amici che sono stati bloccati possono prendere questo script e modificarlo di conseguenza, il che dovrebbe garantire che il sito web non venga bloccato. Inoltre, esiste anche un tipo di testo per campi che sono facili da appendere, ma questo tipo è più difficile da gestire, ed è stato osservato che spesso gli hacker bloccano più campi contemporaneamente per appendere una tabella, quindi finché un campo non funziona, l'intera tabella non funziona |
Pubblicato su 08/02/2015 12:29:37
|
|
|
