Kjennetegnene ved nettsiden er at det ikke lenger finnes mistenkelige filer i nettsidefilene, og nettsiden er i bunn og grunn ASP+SQLSserver-arkitektur. Åpne databasen fra Enterprise Manager, og du kan se at skriptet Trojan er lagt til i databaseskriptet og felttegnene.
Åpne nettsideloggen, og du kan se at koden ble lagt til via SQL-injeksjon.
Ikke tale om, fjern først skriptet gjennom spørringsanalysatoren, heldigvis henger hackeren hesten og hesten er fortsatt relativt regelmessig, du kan slette det på én gang, skrive ryddingsskriptet for hver tabell i databasen i spørringsanalysatoren, og så kjøre det med en gang, ok, åpne nettsiden, verden er ren. Clearing-skriptet er gitt nedenfor:
OPPDATER tabellnavn sett feltnavn = ERSTATTE(feltnavn, hacker-URL ,)
Hvis det infiserte feltet er tekst, er det mer problematisk, og noe data kan gå tapt under konverteringsprosessen for å konvertere teksttypen til varchar(8000) gjennom konverteringsfunksjonen
Etter å ha slettet vil clearing sql-skriptet bli lagret, er alt i orden, etter to timer har nettsiden blitt hengt opp igjen!
Jeg måtte kjøre spørringsanalysatoren igjen, kjøre skriptet og slette det. Det er veldig tydelig, men folk må alltid sove, så du kan ikke fange hemmeligheter der med hackere.
Plutselig tenker vi at dette er SQL-serverbiblioteket, Microsoft må ha en løsning, vi kan ikke stoppe dem fra å se på databasen for å henge opp en trojansk hest, men vi kan gjøre det mislykket. Det er med triggere!
Alle som er kjent med triggere vet at sql2000 først setter inn og endrer data i den innsatte midlertidige tabellen, og deretter faktisk legger dem i den tilsvarende tabellen. Å blokkere fottrinnene til hackere er i denne midlertidige tabellen!
Koden til hackerens hengende hest har dette ordet i seg, fordi det bare på denne måten er klienten som kan åpne nettsiden samtidig for å angripe den store hacker-nettsiden, så la oss starte her.
Triggerkoden er gitt nedenfor:
CREATE triggernavn
På bordets navn
For oppdatering, sett inn
som
Erklær @a varchar(100) - lagre felt 1
Erklær @b varchar(100) - lagre felt 2
Erklær @c varchar(100) – lagre felt 3
velg @a=Felt 1, @b=Felt 2, @c=Felt3 fra innsatt
Hvis(@a som %script% eller @b som %script% eller @c som %script%)
Begynn
ROLLBACK-transaksjon
slutt
Betydningen av denne triggeren er først å definere tre variabler og lagre de tre som lett lagres i den innsatte tabellen
Strengfeltet som hackeren startet, og deretter bruker for å uklart vurdere om verdien inneholder ordet script, og i så fall rulle tilbake transaksjonen uten å rapportere en feil, slik at hackeren lammes og får ham til å tro at han har lagt opp.
Venner som har blitt hengt opp, kan ta dette manuset og tilpasse det deretter, noe som bør sikre at nettsiden ikke henger seg opp. I tillegg finnes det også en teksttype for felt som er lette å henge, men denne typen er mer problematisk å håndtere, og det er observert at hackere ofte henger flere felt samtidig for å henge en tabell, så så lenge ett felt mislykkes, lykkes hele tabellen ikke |
Publisert på 08.02.2015 12:29:37
|
|
|
