数据库被挂马，怎样查找原因？

sunbingzibo 2009-12-16 09:41:53

数据库被挂马，几乎每个表的每个文本字段都被写了JS链接。
我已经开了SQLSERVER Profier监控，却没有发现通过SQL句子写入。
网站程序也做了防SQL注入，是在CONN.ASP里加的通用防注入代码。
现在这两种方法都没有起作用，网站不是我写的，而且代码量很大，没法一行行的检查。
请问还会有什么方法能在数据库写马?

...全文

185 11 打赏收藏转发到动态举报

写回复

用AI写文章

11 条回复

切换为时间正序

请发表友善的回复…

发表回复

a_kang1798 2009-12-16

打赏
举报

顶

sunbingzibo 2009-12-16

打赏
举报

SQLSERVER Profiler我就设置了最后的TSQL的两个选项打钩，这样可以吗？

dxlftt 2009-12-16

打赏
举报

哦，又学了一招

gingerkang 2009-12-16

打赏
举报

[Quote=引用 3 楼 sunbingzibo 的回复:]
IIS日志也查了，没有发现异样，我现在很迷惑他是怎样避开SQLSERVER Profiler的追踪的
[/Quote]
怀疑你检测的方法,跟踪肯定能跟踪到的

twinsvicki 2009-12-16

打赏
举报

帮顶！！！

twinsvicki 2009-12-16

打赏
举报

帮顶！！！

sunbingzibo 2009-12-16

打赏
举报

IIS日志也查了，没有发现异样，我现在很迷惑他是怎样避开SQLSERVER Profiler的追踪的

gingerkang 2009-12-16

打赏
举报

查iis日志

zy13665886 2009-12-16

打赏
举报

你这样根本就没有作用，如果服务器有问题或者同服务器上其它网站有漏洞，都会注入你的，
而且现在有很多的SQL注入软件批量注入你跟本就查不出来的
只能先给你快速解决方法了
--drop table #
declare @t varchar(255),@c varchar(255)
--name是满足条件的表 cols是满足条件的列
create table # (name varchar(256),cols varchar(4000))
declare table_cursor cursor for
select a.name,b.name from sysobjects a,syscolumns b
where a.id=b.id and a.xtype='u'
open table_cursor fetch next from table_cursor
into @t,@c
while(@@fetch_status=0)
begin
exec('
update '+@t+' set '+@c+' = replace(cast('+@c+' as nvarchar(Max)),''<script src=http://3b3.org/c.js></script>'','''')
')
fetch next from table_cursor into @t,@c
end
close table_cursor deallocate table_cursor;
select * from #