关机走人前告知程序异常,简单查看下才发现数据库端口一直暴露在外。查看数据时已经无法直视。好在下手之人只是“友情检测”。爆破了库的密码,入库后Update了所有字符内容。注入了固定的字符。简单分析后就决定两条腿走路,因为不清楚注入时间,所以无法做数据库的备份还原,所以同事尝试通过代码对数据进行清洗,我则从数据库下手解决。
先进行日志筛选,看到日志又是一片惨不忍睹,N多IP狂轰乱炸(之前因为调试,导致数据库端口一直在外,上线后忘了调整,原罪~~)。先对过去24小时内执行语句进行筛选、查询(参考了下他人的博客,以下有原文地址),拿到了对方执行的时间以及游标内容。简单看了下就是对表空间内所有的字符类型进行注入。剩下的就简单了,修改对方的游标,然后对数据进行清理。
查询表空间内执行语句。
--关键字:cross apply & outer apply
--最后更新:2011-10-20 作者:Ronli
--更新链接:http://www.cnblogs.com/ronli/archive/2011/10/20/execSQLog.html
SELECT TOP 1000
--创建时间
QS.creation_time,
--查询语句
SUBSTRING(ST.text,(QS.statement_start_offset/2)+1,
((CASE QS.statement_end_offset WHEN -1 THEN DATALENGTH(st.text)
ELSE QS.statement_end_offset END - QS.statement_start_offset)/2) + 1
) AS statement_text,
--执行文本
ST.text,
--执行计划
QS.total_worker_time,
QS.last_worker_time,
QS.max_worker_time,
QS.min_worker_time
FROM
sys.dm_exec_query_stats QS
--关键字
CROSS APPLY
sys.dm_exec_sql_text(QS.sql_handle) ST
WHERE
--根据时间搜索
QS.creation_time BETWEEN '2021-05-31 00:00:00' AND '2021-05-31 23:00:00'
--根据语句内容搜索
AND ST.text LIKE '%%'
ORDER BY
QS.creation_time DESC对表空间内所有字符类型数据进行清洗
DECLARE
@T varchar(255),
@C varchar(4000)
DECLARE Table_Cursor CURSOR FOR
select a.name,b.name from sysobjects a,syscolumns b
where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167)
OPEN Table_Cursor FETCH NEXT FROM
Table_Cursor INTO @T,@C WHILE(@@FETCH_STATUS=0)
BEGIN exec
('update ['+@T+'] set ['+@C+']= replace (rtrim(convert(varchar(4000),['+@C+'])),''要处理的字符串'','''')')
FETCH NEXT FROM Table_Cursor INTO @T,@C END CLOSE Table_Cursor DEALLOCATE Table_Cursor
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
