今天网站被 Sql 注入了。本人新手,求教育 - V2EX
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lalalafq
V2EX    站长

今天网站被 Sql 注入了。本人新手,求教育

  •  
  •   lalalafq 2016-05-10 16:57:18 +08:00 5358 次点击
    这是一个创建于 3448 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天网站被监控中心预警说被 Sql 注入了。文件目录下有一个被注入的文件,可以上传任意文件,包括脚本文件,请求对应的路径就想做什么就能做什么了。现在不知道哪个口子出现了这个漏洞,改了部分代码和配置,不知道还有没有别的地方有遗漏。顺便问一下有没有可以测试的工具啥的。

    注:环境: windows server 2008 + Sqlserver 2005 + IIS6.x

    26 条回复    2016-05-11 22:12:01 +08:00
    am241
        1
    am241  
       2016-05-10 17:06:08 +08:00
    如果用的成品系统,可以先去乌云搜索一下漏洞

    如果是 GET 提交的注入点,可以看一下日志里有没有奇怪的记录
    alex321
        2
    alex321  
       2016-05-10 17:15:35 +08:00
    windows server 2008 怎么会上 iis6 。。。。。
    longr923
        3
    longr923  
       2016-05-10 17:18:53 +08:00
    过滤
    UnisandK
        4
    UnisandK  
       2016-05-10 17:19:52 +08:00
    lalalafq
        5
    lalalafq  
    OP
       2016-05-10 17:42:59 +08:00
    @alex321 查看关于里面,是 6.x ,然后括号里面是 7
    lalalafq
        6
    lalalafq  
    OP
       2016-05-10 17:43:18 +08:00
    @am241 乌云下面没有
    lalalafq
        7
    lalalafq  
    OP
       2016-05-10 17:45:14 +08:00
    @longr923 过滤了,但是不知道怎么测试
    lalalafq
        8
    lalalafq  
    OP
       2016-05-10 17:45:39 +08:00
    @UnisandK thx ,我试试
    hicdn
        9
    hicdn  
       2016-05-10 17:45:46 +08:00
    可以用加速乐 https://www.yunaq.com/
    lalalafq
        10
    lalalafq  
    OP
       2016-05-10 17:48:29 +08:00
    我需要一个能测试的工具或者方法。谢谢大家
    publicID002
        11
    publicID002  
       2016-05-10 17:50:18 +08:00 via Android
    自己写的软件的话换参数绑定才是根本
    查的话 sqlmap 自己扫下吧
    pimin
        12
    pimin  
       2016-05-10 17:51:10 +08:00 via Android
    sqlmap , appscan
    a84945345
        13
    a84945345  
       2016-05-10 17:54:30 +08:00
    a84945345
        14
    a84945345  
       2016-05-10 17:54:54 +08:00
    我去 不能编辑

    https://www.newdefend.com/
    Slienc7
        15
    Slienc7  
       2016-05-10 18:08:05 +08:00
    shiny
        16
    shiny  
       2016-05-10 18:14:07 +08:00
    一个小技巧:
    1 、记录创建这个文件时的 ip
    2 、记录访问过这个文件的所有 ip

    将该 ip 访问过的 URL 全部抓出来,往往能看到他攻击的手段
    maskerTUI
        17
    maskerTUI  
       2016-05-10 18:24:10 +08:00
    @Slienc7 同事有打狗的 0day 。
    strwei
        18
    strwei  
       2016-05-10 19:22:31 +08:00
    2L+1 ,而且楼主用的 2005 ,微软 2016 都出来了还在玩老古董
    ixinshang
        19
    ixinshang  
       2016-05-10 19:41:44 +08:00 via Android
    @shiny 请问, linux 怎么实现呢
    imlonghao
        20
    imlonghao  
       2016-05-10 20:33:37 +08:00
    http://ce.wooyun.org/ 玩玩~
    shiny
        21
    shiny  
       2016-05-10 22:55:04 +08:00   1
    @ixinshang 「记录」的意思是记下比如 nginx 、 apache 、 IIS 日志里的 ip ,然后去搜索同 ip 访问过的 url 。这个无所谓是 Windows 还是 Linux 。

    除了搜索日志里访问木马 url 的 ip ,还可以记下木马文件创建的时间,然后去看同时间段的 web 日志,然后就可以找到可疑 ip 。

    把可疑 ip 访问的 URL 挨个列出来,就可以看到他的攻击手法,定位出漏洞位置。
    just1
        22
    just1  
       2016-05-10 23:07:11 +08:00 via Android
    1.不要过度依赖 waf , waf 可以拦住技术差一点的,经验老道的有各种姿势绕过。
    2.不要拼接 SQL 语句!不要拼接 SQL 语句!不要拼接 SQL 语句!重要的事情说三遍。建议把涉及数据库的全部重写。
    3.升级相关服务的版本,老了各种洞很多。
    4.估计被传了 shell ,检查一下文件。可以用服务器安全狗对文件进行扫描(遇到免杀就呵呵)
    5.360 好像有个网站漏洞检查的,可以试试,但肯定不全
    ixinshang
        23
    ixinshang  
       2016-05-10 23:40:45 +08:00 via Android
    @shiny 好的 谢谢
    lalalafq
        24
    lalalafq  
    OP
       2016-05-11 08:35:22 +08:00
    @just1 谢谢
    lalalafq
        25
    lalalafq  
    OP
       2016-05-11 08:35:47 +08:00
    @pimin 非常感谢,用了 sqlmap
    ptk555
        26
    ptk555  
       2016-05-11 22:12:01 +08:00
    安全狗大法好
    关于     帮助文档     自助推广系统     博客     API     FAQ     Solana     988 人在线   最高记录 6679       Select Language
    创意工作者们的社区
    World is powered b solitude
    VERSION: 3.9.8.5 26ms UTC 18:51 PVG 02:51 LAX 11:51 JFK 14:51
    Do have faith in what you're doing.
    ubao msn snddm index pchome yahoo rakuten mypaper meadowduck bidyahoo youbao zxmzxm asda bnvcg cvbfg dfscv mmhjk xxddc yybgb zznbn ccubao uaitu acv GXCV ET GDG YH FG BCVB FJFH CBRE CBC GDG ET54 WRWR RWER WREW WRWER RWER SDG EW SF DSFSF fbbs ubao fhd dfg ewr dg df ewwr ewwr et ruyut utut dfg fgd gdfgt etg dfgt dfgd ert4 gd fgg wr 235 wer3 we vsdf sdf gdf ert xcv sdf rwer hfd dfg cvb rwf afb dfh jgh bmn lgh rty gfds cxv xcv xcs vdas fdf fgd cv sdf tert sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf sdf shasha9178 shasha9178 shasha9178 shasha9178 shasha9178 liflif2 liflif2 liflif2 liflif2 liflif2 liblib3 liblib3 liblib3 liblib3 liblib3 zhazha444 zhazha444 zhazha444 zhazha444 zhazha444 dende5 dende denden denden2 denden21 fenfen9 fenf619 fen619 fenfe9 fe619 sdf sdf sdf sdf sdf zhazh90 zhazh0 zhaa50 zha90 zh590 zho zhoz zhozh zhozho zhozho2 lislis lls95 lili95 lils5 liss9 sdf0ty987 sdft876 sdft9876 sdf09876 sd0t9876 sdf0ty98 sdf0976 sdf0ty986 sdf0ty96 sdf0t76 sdf0876 df0ty98 sf0t876 sd0ty76 sdy76 sdf76 sdf0t76 sdf0ty9 sdf0ty98 sdf0ty987 sdf0ty98 sdf6676 sdf876 sd876 sd876 sdf6 sdf6 sdf9876 sdf0t sdf06 sdf0ty9776 sdf0ty9776 sdf0ty76 sdf8876 sdf0t sd6 sdf06 s688876 sd688 sdf86