数据库一次又一次被黑客攻击;已经清理了网站以进行SQL注入

Modified on: Sat, 24 Aug 2019 08:40:02 +0800

我有一位客户要求我尝试分析网站的漏洞。

正在发生的事情是,每个周末左右,数据库中一个表的一个记录的字段每次都会更改为相同的内容。从JewelryJewelery <a rel="nofollow" href="http://[**REMOVED-FOR-SF**]/viewPress?press_id=407">[**REMOVED-FOR-SF**]</a><a rel="nofollow" href="http://[**REMOVED-FOR-SF**]/[**REMOVED-FOR-SF**].html">[**REMOVED-FOR-SF**]</a>。事实上,它总是相同的记录使我认为它是某种自动化脚本,但如果是,我找不到它。

以下内容已经完成:

  • 修复了SQL注入漏洞
  • 在777目录中阻止PHP执行
  • 每次修复后更改数据库密码
  • 每次修复后更改了CMS密码

下一步是什么?

最佳答案

攻击者很可能不需要知道执行更改的密码 - 以下是我将如何处理它:

找到CMS的查询函数包装器,并在查询字符串的regexp与垃圾邮件字符串匹配时更新它以记录到文件和/或发送电子邮件 - 包括任何和所有相关的服务器和CMS变量帮助确定问题的根源。

请注意,您可以在PHP 4.3上调用debug_backtrace() +如果这可能是恶意插件的工作,则隔离包含文件。

作者:danlefree

相关问答

添加新评论