Charakteristikou webu je, že v súboroch webu už nie sú žiadne podozrivé súbory a stránka je v podstate architektúrou ASP+SQLSserver. Otvorte databázu z enterprise manažéra a uvidíte, že do skriptu databázy a poľných znakov bol pridaný skriptový trójsky kôň.
Otvorte log webu a uvidíte, že kód bol pridaný cez SQL injection.
Ani náhodou, najprv odstráňte skript cez analyzátor dotazov, našťastie hacker zablokuje kôň je stále relatívne pravidelný, môžete ho naraz vymazať, napísať čistiaci skript pre každú tabuľku v databáze v analyzátore dotazov a potom ho okamžite spustiť, dobre, otvorte web, svet je čistý. Clearingový skript je uvedený nižšie:
AKTUALIZOVAŤ názov tabuľky, sad pole name = REPLACE(field name, hacker url ,)
Ak je infikované pole text, je to zložitejšie a počas konverzného procesu konverzie textového typu na varchar(8000) sa môžu stratiť niektoré údaje
Po vyčistení sa uloží clearing sql skript, je všetko v poriadku, po dvoch hodinách je stránka opäť zaseknutá!
Musel som znova spustiť analyzátor dotazov, spustiť skript a vymazať ho. Je to naozaj jasné, ale ľudia musia vždy spať, takže tam hackeri neodhalia tajomstvá.
Zrazu si myslíme, že ide o knižnicu sqlserver, Microsoft musí mať riešenie, nemôžeme mu zabrániť pozrieť sa do databázy a zavesiť trójsky kôň, ale môžeme ho urobiť neúspešným. To je s triggermi!
Každý, kto pozná triggery, vie, že sql2000 najprv vkladá a upravuje dáta do vloženej dočasnej tabuľky a potom ich priamo vkladá do príslušnej tabuľky. Blokovanie krokov hackerov je v tejto dočasnej tabuľke!
Kód hacker hanging horse obsahuje toto slovo, pretože len takto môže klient naraz otvoriť webovú stránku a zasiahnuť veľkú hacker stránku, takže začnime tu.
Spúšťací kód je uvedený nižšie:
Názov spúšťača CREATE
O názve stola
Pre aktualizáciu, vložte
ako
Deklarovať @a varchar(100) - uložiť pole 1
Deklarujte @b varchar(100) - uložiť pole 2
Deklarujte @c varchar(100) -- uložte pole 3
vybrať @a=Pole 1, @b=Pole 2, @c=Pole 3 z vloženia
ak (@a ako %script% alebo @b ako %script% alebo @c ako %script%)
začať.
ROLLBACK transakcia
koniec
Význam tohto spúšťača je najprv definovať tri premenné a uložiť tri, ktoré sa dajú ľahko uložiť do vloženej tabuľky
Pole typu reťazca, ktoré hacker spustil, a potom použiť like na nejasné posúdenie, či hodnota obsahuje slovo script, a ak áno, vrátiť transakciu späť bez nahlásenia chyby, aby hacker paralyzoval a mylne si myslel, že ukončil situáciu.
Priatelia, ktorí sa zasekli, môžu tento skript upraviť podľa potreby, čo by malo zabezpečiť, že stránka nebude zaseknutá. Okrem toho existuje aj textový typ pre polia, ktoré sa dajú ľahko zavesiť, ale tento typ je zložitejší, a bolo pozorované, že hackeri často zavesia viacero polí naraz, aby zavesili stôl, takže pokiaľ jedno pole neuspeje, celá tabuľka je neúspešná |
Zverejnené 8. 2. 2015 12:29:37
|
|
|
