Caracteristicile site-ului sunt că nu mai există fișiere suspecte în fișierele site-ului, iar site-ul este practic o arhitectură ASP+SQLSserver. Deschide baza de date din managerul enterprise și poți vedea că troianul de script a fost adăugat la scriptul bazei de date și la caracterele de câmp.
Deschide jurnalul site-ului și poți vedea că codul a fost adăugat prin injecție SQL.
Nici vorbă, mai întâi elimină scriptul prin analizorul de interogări, din fericire, hackerul e încă relativ regulat, poți să-l ștergi dintr-o dată, să scrii scriptul de clearing pentru fiecare tabel din baza de date în analizorul de interogări și apoi să-l rulezi imediat, ok, deschide site-ul, lumea e curată. Scenariul de compensare este prezentat mai jos:
UPDATE tabel nume set nume câmp = REPLACE(numele câmpului, url hacker ,)
Dacă câmpul infectat este text, este mai problematic, iar unele date pot fi pierdute în timpul procesului de conversie pentru a converti tipul de text în varchar(8000) prin funcția de conversie
După curățare, scriptul SQL de curățare va fi salvat, dacă totul e în regulă, după două ore, site-ul a fost din nou blocat!
A trebuit să rulez din nou analizorul de interogări, să rulez scriptul și să-l șterg. Este foarte clar, dar oamenii trebuie mereu să doarmă, așa că nu poți prinde secrete acolo cu hackerii.
Gândindu-se brusc că aceasta este biblioteca sqlserver, Microsoft trebuie să aibă o soluție, nu putem să-l oprim să se uite la baza de date ca să punem un cal troian, dar putem face ca aceasta să nu aibă succes. Asta cu declanșatoare!
Oricine este familiarizat cu trigger-urile știe că sql2000 inserează și modifică datele din tabelul temporar inserat mai întâi, apoi le pune efectiv în tabelul corespunzător. Blocarea pașilor hackerilor este în această masă temporară!
Codul "calul atârnat al hackerilor" conține acest cuvânt, pentru că doar în acest mod clientul poate deschide site-ul în același timp pentru a accesa site-ul hackerului mare, așa că să începem de aici.
Codul declanșator este prezentat mai jos:
Numele declanșatorului CREATE
Numele de pe tabel
Pentru actualizare, inserați
ca
declară @a varchar(100) - Depozitare câmpul 1
Declară @b Varchar(100) - Depozitează câmpul 2
Declară @c Varchar(100) -- Câmpul de Depozitare 3
select @a=Câmp 1, @b=Câmp 2, @c=Câmp3 din inserat
if(@a like %script% sau @b like %script% sau @c like %script%)
Încep
Tranzacția ROLLBACK
Sfârșit
Sensul acestui declanșator este de a defini mai întâi trei variabile și de a stoca cele trei ușor de stocat în tabelul inserat
Câmpul de tip șir pe care hackerul l-a început și apoi îl folosește îi place să judece în mod neclar dacă valoarea conține cuvântul script și, dacă da, să anuleze tranzacția fără a raporta o eroare, pentru a paraliza hackerul și a-l face să creadă greșit că a blocat calul.
Prietenii care au fost blocați pot lua acest scenariu și îl pot modifica în consecință, ceea ce ar trebui să asigure că site-ul nu este blocat. În plus, există și un tip de text pentru câmpuri ușor de agățat, dar acest tip este mai dificil de gestionat, iar s-a observat că hackerii adesea blochează mai multe câmpuri simultan pentru a agăța un tabel, astfel încât, atâta timp cât un câmp nu are succes, întregul tabel nu are succes |
Postat pe 08.02.2015 12:29:37
|
|
|
