------------------------------------------------------------
网站被黑kill_kk/xiaolu/daxia123.cn挂马解决办法与原因
客户站,出现生成不了,被挂马。谈不上解决,只找到原因
现状:
各CMS系统无法生成,但是其它操作正常。生成时一般提示“<' 附近有语法错”和“路径参数超过了最大允许长度。”
受影响对象:采用MSSQL数据库的网站
症状内容:在多个表当中出现挂马代码,如<Script Src=http://cn.daxia123.cn/cn.js> </Script>
数据库出现新增表:如kill_kk表,xiaolu表
分析如下:
kill_kk表为入侵者读取网站根目录的工具,被入侵网站的根目录下所有的文件夹与文件名都保存在此。
xiaolu表:只有一个字段CMD,二进制位。原因不详。
多个表中的字段内出现挂马内容,字段多为vchar,字段长度大于100,
被攻击原因如下:
攻击者将攻击代码用2进制,或10或10进制编译成了类似于这样的代码:0x4445434C415245204054205641524348415228323535292C404 放sql注入的代码不能检测出来,但是sql server 会把这样的代码在解释成原来的样子
这样就绕过了sql防注入代码。
但是,这个代码仅对能解释它的sql server这样的数据库有效,针对access这样的不能解释它的数据库类型攻击无效。
希望微软尽快发补丁。
临时清除办法:
1、批量查找哪些表被挂马了,这一步对大站多表很有用
set @str='daxia123' //这地方放你所被挂马的关键字;
declare @s varchar(8000)
declare tb cursor local for
select s='if exists(select 1 from ['+b.name+'] where ['+a.name+'] like % +@str+ %)
print ''所在的表及字段: ['+b.name+'].['+a.name+']'''
from syscolumns a join sysobjects b on a.id=b.id
where b.xtype='U' and a.status>=0
and a.xusertype in(175,239,231,167)
open tb
fetch next from tb into @s
while @@fetch_status=0
begin
exec(@s)
fetch next from tb into @s
end
close tb
deallocate tb
代码执行完,会提示哪些表中招了。
你再去清除相关字段内容。
临时解决办法:
查找所有vchar型且字段长度比较大的字段,尽量改小长度。
再通过判断post值的长度来临时解决