瑞星卡卡安全论坛技术交流区入侵防御(HIPS) 求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

«23456789   7  /  9  页   跳转

求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

回复 41F xutingxin 的帖子

使用这个防注水,好像暂时安全了,但是加入这个,正常的发布新闻也发布不了了
gototop
 

回复:求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

加入注入代码有东西不能提交是因为注入代码过滤了词汇,可以查看记录信息,看过滤掉了哪个词汇,比如引号什么的,比如brand或者action=select这个词会因为含and和select而被过滤掉导致不能提交,一般是在post的过滤词汇里,把这些频繁出现的词汇删除了就好了,但是如果自己可以写代码判断的话那就最好,如果有那位高人能写出来可以能发出来共享一下呗。
我也加了注入代码,有些需要提交的地方用另一个连接数据库的页面,然后把里面的某些删除了。
昨天加完今天到现在还没有出现问题。。。。继续关注。。。。。
gototop
 

回复:求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

近期大家都被daxia123.cn上的注入病毒搞的很惨,经查该域名是张国新先生注册的,查证信息如下:

域名 daxia123.cn
域名状态 clientHold
域名联系人 张新国
管理联系人电子邮件 he358@yahoo.cn
所属注册商 北京万网志成科技有限公司
域名服务器 dns27.hichina.com
域名服务器 dns28.hichina.com
注册日期 2008-04-28 20:43
过期日期 2009-04-28 20:43




请大家找到此人联系一下,可能病毒不是他搞的,但目前只要先停掉域名的解析或转向,就可以先暂停掉病毒,也给大家时间想办法修复,能看到些贴的朋友请帮忙,我已经发邮件到此域名联系人的邮箱了,但不知道会不会有回复。
gototop
 

回复:求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

已经把网站代码重写了,相信应该能搞定这些问题。。
gototop
 

回复:求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

真是不胜其烦啊,有哪位大侠出来给弄个彻底点的办法!
gototop
 

回复:求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

我也中标了..不过我用了一个比较笨的办法冶了标.没治本..先将就一下.

就是过滤了html代码.因为我的全是在网站标题,关键字,描述,也就是网站参数配置上面出现的..所以调用的时候去掉了html代码..

继续关键最终解决办法!
gototop
 

回复:求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

中标二个多星期了,恢复数据库不管用,一直瘫痪中,上面的到底哪个方法比较可行呢?
gototop
 

回复:求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

添加防注入代码到是可以防止daxia123
但是不能发布文章和上传图片了,那位大侠来解决一下呀!
加入的防注入代码为:
+++++++++++++++++++++++++++++++++++++++++++++++++++
<%dim sql_leach,sql_leach_0,Sql_DATA,SQL_Get,Sql_Post
sql_leach = "',and,exec,insert,select,delete,update,count,chr,mid,master,truncate,char,declare,0x4445434C4152452040542056415243484,4152452040542056415243484152283235352,0x4445434C415245204054205,48415228323535292C4043205641524,22832353529204445434C415245205,61626C655F437572736F7220435552534F5220464F52205345,45435420612E6E616D652C622E6E616D652046524F4D207379736F626A656, <script,92C404320564152434841522832353529204445434C415245205461626C655F437572736F7220435,F626A6563747320612C737973636F6C756D6E73206220574845524520612E69643D622E696420414E4420612E78747970653D27752720414E442028622E78747970653D3939204F5220622E78747970,5204054205641524348415228323535292C404320564152434,VaRcHaR,sYsDaTaBaSeS,sElEcT,dEcLaRe"
'以上是除了常规防注入字符集外。又加了本木马专有的十六进制字符集。
sql_leach_0 = split(sql_leach,",")

If Request.QueryString <>"" Then
For Each SQL_Get In Request.QueryString
For SQL_Data=0 To Ubound(sql_leach_0)
if instr(Request.QueryString(SQL_Get),sql_leach_0(Sql_DATA))>0 Then
Response.Write "请不要提交可注入的字符串!非法字符为"&sql_leach_0(Sql_DATA)
Response.end
end if
next

Next
End If


If Request.Form <>"" Then
For Each Sql_Post In Request.Form
For SQL_Data=0 To Ubound(sql_leach_0)
if instr(Request.Form(Sql_Post),sql_leach_0(Sql_DATA))>0 Then
Response.Write "请不要提交可注入的字符串!非法字符为"&sql_leach_0(Sql_DATA)
Response.end
end if
next
next
end if%>
++++++++++++++++++++++++++++++++++++++++++
还有一个关键的只要将这段代码放入conn.asp 那么就提示
dim 名称重定义
我将变量设置的再如何复杂都无济于事
最后编辑zhidao1 最后编辑于 2009-01-07 10:45:42
www.zhidao1.cn
gototop
 

\回复 35F 水上飞云 的帖子

你的帖子非常受用,但是有个问题,对ntext、text类型的不能修改,能否麻烦仁兄给补充一个,不胜感激
最后编辑低级网管 最后编辑于 2009-01-09 13:46:54
gototop
 

回复:求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

use 数据库名称
update 表名称 set 列名称=replace(CAST(列名称 AS varchar(8000)),'修改的字符',' ')
这是针对text,ntext类型的修改,但是我没法加入到水上飞云的代码中,只能手动找到无法用水上飞云的代码修改的列,在进行查询修改,望水上飞云结合下我这个代码集成到你的代码中去
gototop
 
«23456789   7  /  9  页   跳转
页面顶部
Powered by Discuz!NT