瑞星卡卡安全论坛技术交流区入侵防御(HIPS) 求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

«23456789   5  /  9  页   跳转

求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

回复:求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

解决办法:1 严格过滤 request.form 和 request.querystring 获取的内容,坚决不用 request("name") 这样的方式获取值,凡是采用 cookies 保存的内容,尽量不要用在sql语句里进行查询数据库操作;2 重要的用户资料尽量采用 session 验证,因为session是服务器端的,客户端无法伪造数据,除非他有你服务器的权限。

可以采用以下的防范 get 、post以及cookies 注入的代码来过滤 sql 注入攻击:


<%
Response.Buffer = True  '缓存页面
'防范get注入
If Request.QueryString <> ""  Then StopInjection(Request.QueryString)
'防范post注入
If Request.Form <> ""  Then StopInjection(Request.Form)
'防范cookies注入
If Request.Cookies <> ""  Then StopInjection(Request.Cookies)
'正则子函数
Function StopInjection(Values)
Dim regEx
Set regEx = New RegExp
    regEx.IgnoreCase = True
    regEx.Global = True
    regEx.Pattern = "'|;|#|([\s\b+()]+([email=select%7Cupdate%7Cinsert%7Cdelete%7Cdeclare%7C@%7Cexec%7Cdbcc%7Calter%7Cdrop%7Ccreate%7Cbackup%7Cif%7Celse%7Cend%7Cand%7Cor%7Cadd%7Cset%7Copen%7Cclose%7Cuse%7Cbegin%7Cretun%7Cas%7Cgo%7Cexists)[/s/b]select|update|insert|delete|declare|@|exec|dbcc|alter|drop|create|backup|if|else|end|and|or|add|set|open|close|use|begin|retun|as|go|exists)[\s\b[/email]+]*)"
    Dim sItem, sValue
    For Each sItem In Values
        sValue = Values(sItem)
        If regEx.Test(sValue) Then
            Response.Write "<Script Language=javascript>alert('非法注入!你的行为已被记录!!');history.back(-1);</Script>"
            Response.End
        End If
    Next
    Set regEx = Nothing
End function
%>

    把以上的代码另存为一个文件,如 antisql.asp ,然后在数据库连接文件开头包含这个文件 <!--#include file="antisql.asp"--> ,就可以实现全站的防范 sql 注入的攻击了。
gototop
 

回复:求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

我用一下楼上朋友的防注入代码先试试!
gototop
 

回复:求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

去除数据库中被注入的内容可以 用查询分析器,直接Update
update 表名
set  字段名 = replace(字段名,'<script src=http://cn.daxia123.cn/cn.js></script>','')
可是 我发现text类型的 好像有些字符被注入的内容修改过一些
gototop
 

回复:求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

replace 对text 不关用的.
gototop
 

回复: 求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

我的也是,上周5中的招。
gototop
 

回复: 求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击



引用:
原帖由 daveeyang 于 2008-12-26 23:16:00 发表
目前发现一个问题了,是注入式攻击,通过对访问日志的查看,终于发现了访问有问题,来自IP-121.42.214.238(河北省邯郸市)的访问里面,有一段:
GET /news/more.asp classid=18;dEcLaRe%20@S%20VaRcHaR(4000)%20SeT%20@s=cAsT(0x4445434C4152452040542056415243484152283235352


按照你的方法,我也在我的log中找到了注水代码。
我是2008-12-25 09:56:35被连续攻击三次, 来自IP 210.222.179.98,来自韩国。
然后在2008-12-28 又被攻击两次,一次IP来自韩国,另一次来自香港。
。。。
不过随着仔细浏览最近几天的Log, 发现攻击越来越多,来自很多不同的IP。
。。。
看来这次是大虾123木马大爆发了
最后编辑peterpan2009 最后编辑于 2008-12-29 13:05:09
gototop
 

回复:求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

我是虚拟主机,服务商说是我的问题,我自己要处理没有权限,数据恢复后半小时又中!!!
gototop
 

回复:求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

我也是这样子,现在两个小时被改一次,前天我用MSSQL的触发器对新闻数据表做了动作,昨天一天没落问题,今天其他数据表又中了,现在我只好把每个表都加上触发器了

把我的触发器代码给大家看下,可以做修改用


CREATE TRIGGER DB_News_Info_TR ON DB_News_Info
FOR INSERT,UPDATE
AS
begin
    Save Transaction TReturn
    declare @Text nvarchar(255)
    select @Text=(select NewsTitle from Inserted)
    if charindex('<',@Text)>0 or charindex('>',@Text)>0
    begin
    RAISERROR('请不要对数据库进行恶意攻击,数据库已记下你的IP,情况恶劣我们报警处理!顺便代本网全体用户问候您

妈!',16,1)
    Rollback Transaction TReturn
    end
end
gototop
 

回复:求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

楼上强人
gototop
 

回复 35F 水上飞云 的帖子

打开mssql企业管理器,将Windows身份验证用户:BUILTIN\Administrators的安全性访问选为:拒绝访问.
照着你上面的做了,怎么SQL打不开了。怎么办呢?
gototop
 
«23456789   5  /  9  页   跳转
页面顶部
Powered by Discuz!NT