As características do site são que não há mais arquivos suspeitos nos arquivos do site, e o site é basicamente uma arquitetura ASP+SQLSserver. Abra o banco de dados pelo gerente da empresa e você pode ver que o Trojan do script foi adicionado ao script do banco de dados e aos caracteres de campo.
Abra o log do site e você verá que o código foi adicionado via injeção SQL.
De jeito nenhum, primeiro remova o script pelo analisador de consultas, felizmente o hacker pendura, o cavalo ainda é relativamente regular, você pode limpar de uma vez, escrever o script de limpeza para cada tabela do banco de dados no analisador de consultas e então executá-lo de uma vez, ok, abra o site, o mundo está limpo. O script de compensação está apresentado abaixo:
UPDATE tabela de nomes conjunto de campo = REPLACE(nome do campo, URL hacker ,)
Se o campo infectado for texto, fica mais complicado, e alguns dados podem ser perdidos durante o processo de conversão para converter o tipo de texto em varchar(8000) através da função de conversão
Depois de limpar, o script SQL de limpeza será salvo, está tudo bem? Depois de duas horas, o site foi desligado de novo!
Tive que rodar o analisador de consultas novamente, rodar o script e limpá-lo. É bem claro, mas as pessoas sempre precisam dormir, então você não consegue pegar segredos lá com hackers.
De repente, pensando que essa é a biblioteca sqlserver, a Microsoft precisa de uma solução, não podemos impedir que ela olhe para o banco de dados para enforcar um cavalo de Troia, mas podemos torná-la malsucedida. Isso com gatilhos!
Quem conhece triggers sabe que o sql2000 insere e modifica os dados na tabela temporária inserida primeiro, e depois realmente os coloca na tabela correspondente. Bloquear os passos dos hackers está nessa tabela temporária!
O código do cavalo pendurado do hacker tem essa palavra, porque só assim o cliente pode abrir o site ao mesmo tempo para acessar o grande site do hacker, então vamos começar por aqui.
O código de gatilho é apresentado abaixo:
Nome do gatilho CREATE
Nome da tabela
Para atualização, insera
como
declare @a varchar(100) - campo de venda 1
declare @b varchar(100) - Campo de Venda 2
Declare @c Varchar(100) -- Campo 3 de Jogo
select @a=Campo 1, @b=Campo 2, @c=Campo3 de inserido
if(@a tipo %script% ou @b tipo %script% ou @c tipo %script)
início
Transação de ROLLBACK
fim
O significado desse gatilho é primeiro definir três variáveis e armazenar as três facilmente armazenadas na tabela inserida
O campo do tipo string que o hacker iniciou, e depois usa, gosta de julgar com efeito difuso se o valor contém a palavra script e, se sim, reverter a transação sem reportar erro, para paralisar o hacker e fazê-lo pensar erroneamente que ele enforçou o cavalo.
Amigos que ficaram desligados podem pegar esse roteiro e modificá-lo conforme necessário, o que deve garantir que o site não fique desligado. Além disso, há também um tipo de texto para campos que são fáceis de pendurar, mas esse tipo é mais difícil de lidar, e foi observado que hackers frequentemente travam vários campos ao mesmo tempo para pendurar uma tabela, então, enquanto um campo não funcionar, toda a tabela não tem sucesso |
Publicado em 08/02/2015 12:29:37
|
|
|
