웹사이트의 특징은 더 이상 의심스러운 파일이 없고, 기본적으로 ASP+SQLSserver 아키텍처라는 점입니다. 엔터프라이즈 매니저에서 데이터베이스를 열면, 트로이 목마 스크립트가 데이터베이스 스크립트와 필드 문자에 추가된 것을 볼 수 있습니다.
웹사이트 로그를 열면 코드가 SQL 인젝션을 통해 추가된 것을 볼 수 있습니다.
절대 안 됩니다. 먼저 쿼리 분석기를 통해 스크립트를 제거하세요. 다행히 해커는 말을 걸어 놓는 것이 여전히 비교적 규칙적입니다. 한 번에 삭제한 후 쿼리 분석기에서 데이터베이스 내 각 테이블에 대한 삭제 스크립트를 작성한 후 한 번에 실행하면 됩니다. 좋아요, 웹사이트를 열면 세상이 깨끗해집니다. 정화 스크립트는 아래에 나와 있습니다:
UPDATE table name set field name = REPLACE(필드 이름, 해커 URL ,)
감염된 필드가 텍스트라면 더 복잡하며, 변환 함수를 통해 텍스트 타입을 varchar(8000)로 변환하는 과정에서 일부 데이터가 손실될 수 있습니다
지우기(clearing) 후 클리어링 SQL 스크립트가 저장되고, 모든 것이 정상인가요? 두 시간 후에 웹사이트가 다시 멈췄습니다!
쿼리 분석기를 다시 실행하고, 스크립트를 실행한 뒤 지워야 했습니다. 정말 명확하지만, 사람들은 항상 잠을 자야 해서 해커가 그곳에서 비밀을 잡을 수 없어요.
갑자기 이것이 sqlserver 라이브러리라고 생각하며, 마이크로소프트가 해결책을 가지고 있을 거라고 생각하며, 데이터베이스를 들여다보며 트로이 목마를 걸지 못하게 막을 수는 없지만, 실패하게 만들 수는 있습니다. 그건 트리거가 있는 경우입니다!
트리거에 익숙한 사람이라면 알다시피, sql2000은 삽입된 임시 테이블에 데이터를 먼저 삽입하고 수정한 뒤, 실제로 해당 테이블에 데이터를 넣는다. 해커의 발자국을 막는 것은 이 임시 테이블에 있습니다!
해커 행잉 호스의 코드에는 이 단어가 포함되어 있는데, 이렇게 해야만 클라이언트가 동시에 웹사이트를 열어 대형 해커 웹사이트를 공격할 수 있기 때문입니다. 그러니 여기서 시작해 보겠습니다.
트리거 코드는 아래에 제시되어 있습니다:
CREATE 트리거 이름
테이블 이름에
업데이트는 다음과 같습니다
as
@a 바르차르(100) - 상점 필드 1 선언
@b 바르차르(100) - 상점 필드 2 선언
@c 바르차르(100) -- 상점 필드 3 선언
삽입된 @a=필드 1, @b=필드 2, @c=필드3를 삽입하여 선택하세요
if(@a %script% 같은 것, @b %script% 같은 것, @c %script% 같은 것들
시작
롤백 트랜잭션
끝
이 트리거의 의미는 먼저 세 가지 변수를 정의하고 삽입된 테이블에 쉽게 저장할 수 있는 세 가지를 저장하는 것입니다
해커가 시작한 문자열 타입 필드를 사용해 값에 워드 스크립트가 포함되어 있는지 모호하게 판단하고, 포함되어 있으면 오류를 보고하지 않고 거래를 롤백하여 해커를 마비시키고 자신이 말을 걸었다고 착각하게 만듭니다.
문제가 생긴 친구들은 이 스크립트를 받아 수정할 수 있어, 웹사이트가 걸리지 않도록 할 수 있습니다. 또한, 쉽게 걸릴 수 있는 필드를 위한 텍스트 타입도 있지만, 이 타입은 다루기 더 까다롭고, 해커들이 테이블을 걸기 위해 여러 필드를 동시에 매달아 한 필드가 실패하면 전체 테이블이 실패하는 경우가 관찰되었습니다 |
게시됨 2015. 2. 8. 오후 12:29:37
|
|
|
