Značilnosti spletne strani so, da v datotekah ni več sumljivih datotek, spletna stran pa je v bistvu arhitektura ASP+SQLSserver. Odprite bazo podatkov v upravitelju podjetja in vidite, da je skriptni trojan dodan v skripto baze podatkov in poljne znake.
Odpri dnevnik spletne strani in vidiš, da je bila koda dodana preko SQL injekcije.
Nikakor, najprej odstranite skripto skozi analizator poizvedb, na srečo je heker še vedno razmeroma reden, lahko ga počistite naenkrat, napišete skripto za čiščenje za vsako tabelo v bazi v analizatorju poizvedb in jo nato takoj izvedete, v redu, odprite spletno stran, svet je čist. Skripta za čiščenje je prikazana spodaj:
POSODOBI ime tabele, nastavi ime polja = REPLACE(ime polja, hekerski URL ,)
Če je okuženo polje besedilo, je to bolj zapleteno, poleg tega pa se lahko med postopkom pretvorbe za pretvorbo besedilnega tipa v varchar(8000) s funkcijo pretvorbe izgubijo nekateri podatki
Po brisanju se bo shranil SQL skript za čiščenje, če je vse v redu? Po dveh urah je spletna stran spet obstala!
Moral sem ponovno zagnati analizator poizvedb, zagnati skripto in jo počistiti. Res je jasno, a ljudje morajo vedno spati, zato tam ne moreš ujeti skrivnosti s hekerji.
Nenadoma pomislimo, da gre za knjižnico sqlserver, Microsoft mora imeti rešitev, ne moremo ga ustaviti, da ne pogleda baze podatkov in ne bi postavil trojanskega konja, lahko pa ga naredimo neuspešnega. To je s sprožilci!
Vsak, ki pozna sprožilce, ve, da sql2000 najprej vstavlja in spreminja podatke v vstavljeno začasno tabelo, nato pa jih dejansko vnese v ustrezno tabelo. Blokiranje stopinj hekerjev je v tej začasni tabeli!
Koda hekerskega visečega konja vsebuje to besedo, ker lahko stranka le na ta način hkrati odpre spletno stran in zadene veliko hekersko spletno stran, zato začnimo tukaj.
Koda sprožilca je navedena spodaj:
Ime sprožilca CREATE
o imenu mize
za posodobitev, vstavi
kot
Deklariraj @a varchar(100) - polje za shranjevanje 1
Deklariraj @b varchar (100) - Polje za shranjevanje 2
Deklariraj @c varchar(100) -- shrani polje 3
izberite @a=Polje 1, @b=Polje 2, @c=Polje 3 iz vstavljenega
če (@a kot %script% ali @b kot %script% ali @c kot %script%)
začetek
ROLLBACK transakcija
konec
Pomen tega sprožilca je najprej definirati tri spremenljivke in shraniti tri, ki jih je enostavno shraniti v vstavljeno tabelo
Polje tipa nizov, ki ga je heker začel, nato pa uporabi like za nejasno oceno, ali vrednost vsebuje besedni skript, in če da, razveljavi transakcijo brez poročanja o napaki, da bi hekerja ohromil in ga prepričal, da je obesil konja.
Prijatelji, ki so se zataknili, lahko vzamejo ta skript in ga ustrezno prilagodijo, kar bi moralo zagotoviti, da spletna stran ne bo zataknjena. Poleg tega obstaja tudi besedilna vrsta za polja, ki jih je enostavno obesiti, vendar je ta vrsta bolj zahtevna za uporabo, in opazili so, da hekerji pogosto obesijo več polj hkrati, da obesijo tabelo, tako da dokler eno polje ni uspešno, je celotna tabela neuspešna |
Objavljeno na 8. 02. 2015 12:29:37
|
|
|
