Особливості сайту полягають у тому, що в файлах сайту більше немає підозрілих файлів, і сайт фактично має архітектуру ASP+SQLSserver. Відкрийте базу даних через менеджер підприємства, і ви побачите, що скрипт Trojan додано до скрипта бази даних і символи поля.
Відкрийте журнал сайту, і ви побачите, що код додано за допомогою SQL-ін'єкції.
Ні в якому разі, спочатку видаліть скрипт через аналізатор запитів, на щастя, хакер все ще досить регулярний, ви можете очистити його одразу, написати скрипт очищення для кожної таблиці в базі даних у аналізаторі запитів, а потім виконати його одразу, гаразд, відкрити сайт, світ чистий. Нижче наведено сценарій очищення:
UPDATE table name name name = REPLACE(ім'я поля, hacker url ,)
Якщо інфіковане поле є текстом, це складніше, і частина даних може бути втрачена під час процесу конвертації для конвертації типу тексту у varchar(8000) через функцію конвертації
Після очищення скрипт SQL збережеться, все гаразд? Через дві години сайт знову зависає!
Мені довелося знову запустити аналізатор запитів, запустити скрипт і очистити його. Це дуже зрозуміло, але людям завжди потрібно спати, тож там не можна розкрити секрети за допомогою хакерів.
Раптом думаючи, що це бібліотека sqlserver, Microsoft має знайти рішення, ми не можемо зупинити її від перегляду бази даних, щоб підставити троянського коня, але можемо зробити її невдалою. Це з тригерами!
Кожен, хто знайомий із тригерами, знає, що sql2000 спочатку вставляє і змінює дані у вставленій тимчасовій таблиці, а потім фактично додає їх у відповідну таблицю. Блокування слідів хакерів — у цьому тимчасовому столі!
Код hacker hanging horse містить це слово, бо лише так клієнт може одночасно відкрити сайт і потрапити на великий хакерський сайт, тож почнемо звідси.
Код тригера наведено нижче:
CREATE ім'я тригера
Назва на таблиці
Для оновлення вставте
як
Оголосити @a Варчар(100) — поле магазину 1
Оголосити @b Варчар(100) - поле магазину 2
Оголосити @c Варчар(100) — поле магазину 3
виберіть @a=Поле 1, @b=Поле 2, @c=Поле3 з вставленого
якщо(@a як %script% або @b як %script% або @c як %script%)
Почніть
Транзакція ВІДКАТ
кінець
Значення цього тригера полягає в тому, щоб спочатку визначити три змінні та зберегти три, які легко зберігати у вставленій таблиці
Поле string-type, яке хакер запустив, а потім використовує лайк, щоб розмиті оцінити, чи містить значення word script, і якщо так, то відкотити транзакцію назад без повідомлення про помилку, щоб паралізувати хакера і змусити його помилково думати, що він завершив коня.
Друзі, які застрягли, можуть взяти цей скрипт і відповідно його змінити, що має гарантувати, що сайт не застрягає. Крім того, існує також тип тексту для полів, які легко підвішувати, але з цим типом роботи складніше, і спостерігалося, що хакери часто підвішують кілька полів одночасно, щоб підвішувати стіл, тож якщо одне поле не вдалося, вся таблиця не є успішною |
Опубліковано 08.02.2015 12:29:37
|
|
|
