使用一流信息监控拦截css/c.js方式的挂马
近期很多网站被挂上了内容为:“.nuclear3.c%6F%6D/css/c.js”的木马,严重影响了很多网站的正常运行,经星外科技检查,这种注入方式采用的是综合的POST,GET及COOKIE方式的注入,而且黑客自动使用程序在百度中查找有问题的网站,自动进行注入,因此保守估计有上万人网站受到了影响。挂马的原始代码使用了cast对注入内容进行编码,因此传统的拦截方式没有作用。
为了解决这个问题,您需要进行以下的操作:
一.将一流信息监控升级到4.07版,只有这个版本才能支持cookie拦截。
二.您可以拦截配置中,启用Cookie拦截及SQL拦截,
然后,您需要在配置中
“流入拦截关键词”,“GET请求的限制”,“POST请求的限制”
设置拦截以下的内容:
1.拦截cast关键词;
2.拦截declare
3.拦截0x4400
4.拦截exec
5.拦截varchar
6.在GET拦截中拦截--
就是说,你可以直接将
cast@declare@0x4400@exec@varchar@
加在“流入拦截关键词”,
保存后,就可以解决被挂马的问题。
页:
[1]
