Особенности сайта таковы: в файлах сайта больше нет подозрительных файлов, и сайт по сути является архитектурой ASP+SQLSserver. Откройте базу данных через менеджер предприятия, и вы увидите, что скрипт Trojan добавлен в скрипт базы данных и символы поля.
Откройте лог сайта, и вы увидите, что код был добавлен с помощью SQL-инъекции.
Ни в коем случае, сначала удалите скрипт через анализатор запросов, к счастью, хакер всё равно довольно обычный, вы можете очистить его сразу, написать скрипт очистки для каждой таблицы в базе данных в анализаторе запросов и сразу его выполнить, хорошо, откройте сайт — мир чист. Текст очистки приведён ниже:
UPDATE table name set field name = REREPLACE (имя поля, URL hacker ,)
Если заражённое поле — текст, это становится более проблемным, и часть данных может быть потеряна во время процесса конвертации для преобразования текста в varchar(8000) через функцию конвертации
После очистки скрет-скрипт SQL будет сохранен, всё ли в порядке? Через два часа сайт снова завис!
Мне пришлось заново запустить анализатор запросов, запустить скрипт и очистить его. Это очень ясно, но людям всегда нужно спать, так что с помощью хакеров секреты не поймаешь.
Внезапно подумав, что это библиотека sqlserver, у Microsoft должно быть решение, мы не можем помешать ей смотреть на базу данных, чтобы подвесить троянского коня, но можем сделать её неудачной. Это с триггерами!
Любой, кто знаком с триггерами, знает, что sql2000 сначала вставляет и изменяет данные в временной таблице, а затем фактически помещает их в соответствующую таблицу. Блокировать шаги хакеров — это временный стол!
В коде хакерской «висящей лошади» есть это слово, потому что только так клиент может одновременно открыть сайт и попасть на крупный хакерский сайт, так что начнём с этого.
Код триггера приведён ниже:
Имя триггера CREATE
Имя в таблице
Для обновления вставьте
как
Объявить @a Варчар(100) — поле магазина 1
Объявить @b Варчар(100) — поле магазина 2
Объявить @c Варчар(100) — поле магазина 3
выберите @a=Поле 1, @b=Поле 2, @c=Поле 3 из вставленных
если(@a как %script% или @b как %script%, или @c как %script%)
Начало
Транзакция с откатом
Конец
Смысл этого триггера заключается в том, чтобы сначала определить три переменные и сохранить три из них, легко хранящихся в вставленной таблице
Поле string-type, которое хакер запустил, а затем используйте лайк, чтобы нечетко определить, содержит ли значение слово script, и если да, откатить транзакцию назад, не сообщая об ошибке, чтобы парализовать хакера и заставить его ошибочно думать, что он завершил работу.
Друзья, которые застряли, могут взять этот скрипт и изменить его соответствующим образом, чтобы сайт не зависел. Кроме того, существует тип текста для полей, которые легко подвесить, но с этим типом работать сложнее, и было замечено, что хакеры часто подвешивают несколько полей одновременно, чтобы подвесить стол, так что пока одно поле не удаётся, вся таблица не уходит |
Опубликовано 08.02.2015 12:29:37
|
|
|
