V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lalalafq
V2EX  ›  站长

今天网站被 Sql 注入了。本人新手,求教育

  •  
  •   lalalafq · 2016-05-10 16:57:18 +08:00 · 5035 次点击
    这是一个创建于 3152 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天网站被监控中心预警说被 Sql 注入了。文件目录下有一个被注入的文件,可以上传任意文件,包括脚本文件,请求对应的路径就想做什么就能做什么了。现在不知道哪个口子出现了这个漏洞,改了部分代码和配置,不知道还有没有别的地方有遗漏。顺便问一下有没有可以测试的工具啥的。

    注:环境: windows server 2008 + Sqlserver 2005 + IIS6.x

    26 条回复    2016-05-11 22:12:01 +08:00
    am241
        1
    am241  
       2016-05-10 17:06:08 +08:00
    如果用的成品系统,可以先去乌云搜索一下漏洞

    如果是 GET 提交的注入点,可以看一下日志里有没有奇怪的记录
    alex321
        2
    alex321  
       2016-05-10 17:15:35 +08:00
    windows server 2008 怎么会上 iis6 。。。。。
    longr923
        3
    longr923  
       2016-05-10 17:18:53 +08:00
    过滤
    UnisandK
        4
    UnisandK  
       2016-05-10 17:19:52 +08:00
    lalalafq
        5
    lalalafq  
    OP
       2016-05-10 17:42:59 +08:00
    @alex321 查看关于里面,是 6.x ,然后括号里面是 7
    lalalafq
        6
    lalalafq  
    OP
       2016-05-10 17:43:18 +08:00
    @am241 乌云下面没有
    lalalafq
        7
    lalalafq  
    OP
       2016-05-10 17:45:14 +08:00
    @longr923 过滤了,但是不知道怎么测试
    lalalafq
        8
    lalalafq  
    OP
       2016-05-10 17:45:39 +08:00
    @UnisandK thx ,我试试
    hicdn
        9
    hicdn  
       2016-05-10 17:45:46 +08:00
    可以用加速乐 https://www.yunaq.com/
    lalalafq
        10
    lalalafq  
    OP
       2016-05-10 17:48:29 +08:00
    我需要一个能测试的工具或者方法。谢谢大家
    publicID002
        11
    publicID002  
       2016-05-10 17:50:18 +08:00 via Android
    自己写的软件的话换参数绑定才是根本
    查的话 sqlmap 自己扫下吧
    pimin
        12
    pimin  
       2016-05-10 17:51:10 +08:00 via Android
    sqlmap , appscan
    a84945345
        13
    a84945345  
       2016-05-10 17:54:30 +08:00
    https://www.newdefend.com/牛盾云安全,你值得拥有··
    还有高防 DNS ,什么都解决了··
    a84945345
        14
    a84945345  
       2016-05-10 17:54:54 +08:00
    我去 不能编辑

    https://www.newdefend.com/
    Slienc7
        15
    Slienc7  
       2016-05-10 18:08:05 +08:00
    shiny
        16
    shiny  
       2016-05-10 18:14:07 +08:00
    一个小技巧:
    1 、记录创建这个文件时的 ip
    2 、记录访问过这个文件的所有 ip

    将该 ip 访问过的 URL 全部抓出来,往往能看到他攻击的手段
    maskerTUI
        17
    maskerTUI  
       2016-05-10 18:24:10 +08:00
    @Slienc7 同事有打狗的 0day 。
    strwei
        18
    strwei  
       2016-05-10 19:22:31 +08:00
    2L+1 ,而且楼主用的 2005 ,微软 2016 都出来了还在玩老古董
    ixinshang
        19
    ixinshang  
       2016-05-10 19:41:44 +08:00 via Android
    @shiny 请问, linux 怎么实现呢
    imlonghao
        20
    imlonghao  
       2016-05-10 20:33:37 +08:00
    http://ce.wooyun.org/ 玩玩~
    shiny
        21
    shiny  
       2016-05-10 22:55:04 +08:00   ❤️ 1
    @ixinshang 「记录」的意思是记下比如 nginx 、 apache 、 IIS 日志里的 ip ,然后去搜索同 ip 访问过的 url 。这个无所谓是 Windows 还是 Linux 。

    除了搜索日志里访问木马 url 的 ip ,还可以记下木马文件创建的时间,然后去看同时间段的 web 日志,然后就可以找到可疑 ip 。

    把可疑 ip 访问的 URL 挨个列出来,就可以看到他的攻击手法,定位出漏洞位置。
    just1
        22
    just1  
       2016-05-10 23:07:11 +08:00 via Android
    1.不要过度依赖 waf , waf 可以拦住技术差一点的,经验老道的有各种姿势绕过。
    2.不要拼接 SQL 语句!不要拼接 SQL 语句!不要拼接 SQL 语句!重要的事情说三遍。建议把涉及数据库的全部重写。
    3.升级相关服务的版本,老了各种洞很多。
    4.估计被传了 shell ,检查一下文件。可以用服务器安全狗对文件进行扫描(遇到免杀就呵呵)
    5.360 好像有个网站漏洞检查的,可以试试,但肯定不全
    ixinshang
        23
    ixinshang  
       2016-05-10 23:40:45 +08:00 via Android
    @shiny 好的 谢谢
    lalalafq
        24
    lalalafq  
    OP
       2016-05-11 08:35:22 +08:00
    @just1 谢谢
    lalalafq
        25
    lalalafq  
    OP
       2016-05-11 08:35:47 +08:00
    @pimin 非常感谢,用了 sqlmap
    ptk555
        26
    ptk555  
       2016-05-11 22:12:01 +08:00
    安全狗大法好
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3903 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 37ms · UTC 05:12 · PVG 13:12 · LAX 21:12 · JFK 00:12
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.