Web sitesinin özellikleri, web sitesi dosyalarında artık şüpheli dosyaların olmaması ve sitenin temelde ASP+SQLSserver mimarisi olmasıdır. Kurumsal yöneticiden veritabanını açın, veritabanının ve alan karakterlerinin betik olarak Trojan betisinin eklendiğini görebilirsiniz.
Web sitesi günlüğünü açın ve kodun SQL enjeksiyonu ile eklendiğini görebilirsiniz.
Asla, önce sorgu analizöründen scripti kaldırın, neyse ki hacker atı asıyor, hala nispeten normal, bir kerede temizleyebilir, veritabanındaki her tablo için temizleme betiklerini sorgu analizöründe yazabilir ve hemen çalıştırabilirsiniz, tamam, web sitesini açın, dünya temiz. Temizleme metni aşağıda verilmiştir:
GÜNCELLEME tablo adı ayarı alan adı = REPLACE (alan adı, hacker url'si ,)
Enfekte alan metin ise, bu daha sorunludur ve dönüştürme fonksiyonu üzerinden metin tipini varchar(8000)'e dönüştürme işlemi sırasında bazı veriler kaybolabilir
Temizledikten sonra temizleme SQL scripti kaydedilecek, her şey yolunda mı, iki saat sonra web sitesi tekrar kapalı!
Sorgu analizörünü tekrar çalıştırmam, betikleri çalıştırmam ve temizlemem gerekti. Gerçekten çok açık ama insanlar hep uyumak zorunda, bu yüzden hackerlarla orada sır yakalayamıyorsun.
Birdenbire bunun SQL server kütüphanesi olduğunu düşünerek, Microsoft'un bir çözümü olmalı, veritabanına bakıp Truva atı kurmasını engelleyemeyiz ama başarısız hale getirebiliriz. Tetikleyicilerle birlikte!
Tetikleyicilerle taniş olan herkes, sql2000'in önce eklenen geçici tabloya veri ekip değiştirdiğini, sonra ise ilgili tabloya koyduğunu bilir. Hackerların ayak izlerini engellemek bu geçici masada!
Hacker hanging horse'un kodunda bu kelime var, çünkü ancak bu şekilde istemci aynı anda web sitesini açabiliyor ve büyük hacker sitesine ulaşabiliyor, o yüzden buradan başlayalım.
Tetikleme kodu aşağıda verilmiştir:
OLUŞTUR tetikleyici tetikleyici adı
Masa üzerindeki adı
güncelleme için, insert
olarak
Varchar @a deklarasyonu (100) - Mağaza Alanı 1
Declare @b Varchar(100) - Depo Alanı 2
Varchar @c deklarasyon -- Depo Alanı 3
select @a=Alan 1, @b=Alan 2, @c=Alan 3 eklenmişten
eğer(%script% gibi @a veya %script% gibi @b %script% gibi @c %script) gibiyse)
Başlamak
ROLLBACK işlemi
Son
Bu tetikleyicinin anlamı, önce üç değişkeni tanımlamak ve kolayca saklanan üçünü eklenen tabloda depolamaktır
Hacker'ın başlattığı ve ardından kullandığı string türü alanı, değerin kelime scriptini içerip içermediğini bulanık bir şekilde değerlendirmek için kullandığı türde, eğer varsa, işlemi hata bildirmeden geri alarak hacker'ı felç eder ve yanlış bir şekilde atı kapattığını düşünmesini sağlar.
Takılan arkadaşlar bu senaryoyu alıp buna göre değiştirebilir, böylece web sitesi takılmamalıdır. Ayrıca, kolayca asılması gereken alanlar için bir metin tipi de vardır, ancak bu tür daha zahmetlidir ve hackerların genellikle aynı anda birden fazla alanı asarak bir tabloyu astığı gözlemlenmiştir; bir alan başarısız olduğu sürece tüm tablo başarısız olur |
Yayınlandı 8.02.2015 12:29:37
|
|
|
