ASP是微軟公司開發的代替CGI腳本程序的一種應用，它可以與數據庫和其它程序進行交互，是一種簡單、方便的編程工具，與微軟SQL Server搭配可發揮最佳效果。鼎盛時期幾乎成為國內網站開發的標準，后來漸漸被JSP和PHP、ASPX所替代。

國內云WAF提供商加速樂團隊最近監測到一個來自俄羅斯IP(91.220.131.34)的攻擊，經分析：此IP只對中國的網站發起SQL Server數據庫的注入攻擊。與大多攻擊不同的是，此IP的攻擊較直接、且帶破壞性，被攻擊的網站沒有任何關聯性，但這些網站共同的特點是，它們都是用ASP和ASPX語言開發的，初步估計，選擇攻擊中國的網站是由于國內仍有不少網站使用ASP技術，而ASP在國外目前已經基本上不流行。

此IP提交的攻擊惡意代碼如下：

使用的User-Agent是：

雖然User-Agent是自定義的，但根據“en-US”字樣可以估計是攻擊來源是國外。

對攻擊惡意代碼內容解密并整理后，如下：

這段攻擊代碼是針對SQL Server數據庫的，如果網站有漏洞，該代碼就會執行，并會替換數據庫中數據。從Update語句中，看到有兩個網址，分別是corypaydayloans.com和maxxpaydayloans.com，目前這兩個網址均無法正常訪問。

將corypaydayloans.com、maxxpaydayloans.com作為關鍵字在搜索引擎中搜索，結果分別如下圖：

從搜索結果中可以看到，有不少中國的網站已經受到攻擊(暫時沒有找到受到攻擊的國外站點)，且內容被替換成這兩個域名了，不過大部分網站已經得到了修復，但還有少數存在漏洞的站點仍受到攻擊，在這些受到攻擊的站點中，還發現部分網站的內容被替換成另外一個域名：willpaydayloans.com。比如這個受攻擊的頁面：

maxxpaydayloans.com、corypaydayloans.com和willpaydayloans.com除了在域名字面上有相似部分，通過whois查詢，也發現這三個域名屬于同一個人，分別在2013年3月5日、2013年3月9日和2013年3月17日注冊。三個域名的注冊信息相同部分如下：

從上面的域名信息中我們可以知道，注冊人填寫的國家是捷克，城市是帕爾杜比采，電話是420.226517351，管理員郵箱是

這個三個域名中，只有最新注冊的willpaydayloans.com可以正常訪問，看網站內容應該是一個貸款的網站：

由于攻擊來源IP：91.220.131.34開放了80端口，并可以直接在瀏覽器中訪問http://91.220.131.34，內容和willpaydayloans.com是一樣的，由此可以確定攻擊者就是willpaydayloans.com這個網站。

微軟官方早在2005年就開始建議使用ASP技術的客戶升級到ASP.net(ASPX)，而面向ASP的支持也將逐漸停止。因此，加速樂提醒廣大站長，如果沒有特殊情況，請盡量使用業界支持度較好的Web開發語言，并及時采用Web應用防火墻和Web安全預警系統。這樣才能保持其Web應用的安全和健壯。