数据库被挂马的ASP处理方法

七彩焰阳

数据库被挂马我相信很多人都碰到过。在这里，我讲下我处理的方法。
第一步：为现有数据库做好备份。
第二步：
执行如下ASP文件，这样就可以去掉数据库当中的JS木马：
注：conn.asp自己去写了。

程序代码

1. '这里放入JS木马内容：请记得改为自己数据库中的JS木马内容。
   
2. <!--#include file="conn.asp"-->
   
3. <%
   
4. Server.ScriptTimeOut=180
   
5. Set rstSchema = conn.OpenSchema(20)
   
6. k=1
   
7. Do Until rstSchema.EOF '遍历数据库表
   
8.     If rstSchema("TABLE_TYPE")="TABLE" Then
   
9.         response.write K&".<font color=red><b>"&rstSchema("TABLE_NAME") & "</b></font>:" '显示表名
   
10.         Set rs=Server.CreateObject("ADODB.Recordset")
    
11.         sql="select * from [" & rstSchema("TABLE_NAME")&"]"
    
12.         rs.open sql,conn,1,3
    
13.         For i=0 to rs.fields.count-1 '遍历表中字段
    
14.            If int(rs(i).Type)=129 or int(rs(i).Type)=130 or int(rs(i).Type)=200 or int(rs(i).Type)=201 or int(rs(i).Type)=202 or int(rs(i).Type)=203 Then'只处理字段类型为字符型的字段
    
15.             conn.execute("update ["&rstSchema("TABLE_NAME")&"] set "&rs(i).name&" =replace(cast("&rs(i).name&" as varchar(8000)),'这里放入JS木马内容','')")
    
16.             response.write rs(i).name &" "&rs(i).Type &" "'显示执行过的字段名。
    
17.           End If
    
18.         Next
    
19.         response.write "<br>"
    
20.     End If
    
21.     rstSchema.MoveNext
    
22.     k=k+1
    
23. Loop
    
24. response.Write "执行成功"
    
25. %>

复制代码

如果数据库表很多的话，上面的遍历数据库结构未执行完就被IIS给停止了。在这时候可以在

程序代码

1. If rstSchema("TABLE_TYPE")="TABLE" Then

复制代码

当中适当加入k值的范围，如：

程序代码

1. If rstSchema("TABLE_TYPE")="TABLE" k>10 and k<20 Then

复制代码

这样的话就一次只操作9个表。
第三步：
根据数据库JS注入的特性(会包括<script、</script>和http://这样的字符)，
在conn.asp里面放入如下代码：

程序代码

1. Function Cheack_Sqljs()'防止数据库外链JS注入:true为发现外链JS注入。
   
2.     Dim F_Post,F_Get
   
3.     Cheack_Sqljs=False
   
4.     If Request.Form<>"" Then'表单提交时的检测
   
5.         For Each F_Post In Request.Form
   
6.             If (Instr(LCase(Request.Form(F_Post)),"<script")<>0 or Instr(LCase(Request.Form(F_Post)),"</script>")<>0) and Instr(LCase(Request.Form(F_Post)),"http://")<>0 Then
   
7.                 Cheack_Sqljs=True
   
8.                 Exit For
   
9.             End If
   
10.         Next
    
11.     End If
    
12.     If Request.QueryString<>"" Then'QueryString提交时的检测
    
13.         For Each F_Get In Request.QueryString
    
14.             If (Instr(LCase(Request.Form(F_Get)),"<script")<>0 or Instr(LCase(Request.Form(F_Get)),"</script>")<>0) and Instr(LCase(Request.Form(F_Get)),"http://")<>0 Then
    
15.                 Cheack_Sqljs=True
    
16.                 Exit For
    
17.             End If
    
18.         Next
    
19.     End If
    
20. End Function
    
21. Function CheckDataFrom()'检查提交数据来源：True为数据从站外提交过来的
    
22.     CheckDataFrom=True
    
23.     server_v1=Cstr(Request.ServerVariables("HTTP_REFERER"))
    
24.     server_v2=Cstr(Request.ServerVariables("SERVER_NAME"))
    
25.     if mid(server_v1,8,len(server_v2))<>server_v2 then
    
26.         CheckDataFrom=False
    
27.     end if
    
28. End Function
    
29. If Cheack_Sqljs or CheckDataFrom Then
    
30.    Response.Write "<Script Language=JavaScript>alert('禁止执行，非法操作。');</Script>"
    
31.    Response.End()
    
32. End If

复制代码

七彩efff

那个贴子 让它沉下去吧！ 不要啦