MSSQL数据库中发现D99_Tmp数据表的处理办法

最新推荐文章于 2024-09-20 17:14:37 发布
最新推荐文章于 2024-09-20 17:14:37 发布
阅读量67 收藏
点赞数
文章标签: 数据库 操作系统
原文链接:http://www.cnblogs.com/cole2295/archive/2009/07/11/1520935.html
版权

来源于网络,经过整理

D99_tmp(subdirectory,depth,file三个字段,里面的数据都是网站文件和目录)

MSSQL数据库存在几个危险的扩展存储过程,默认Public组可执行权限,SQL注入者可利用此读取文件目录及用户组,并可通过先写入数据库然后导出为文件的方法往服务器写入危险脚本进一步提权,或直接使用某些存储过程执行命令,如xp_cmdshell。
xp_cmdshell可以让系统管理员以操作系统命令行解释器的方式执行给定的命令字符串,并以文本行方式返回任何输出,是一个功能非常强大的扩展存储过程。一般的黑客攻击SQL Server时,首先采用的方法是执行master扩展存储过程xp_cmdshell命令来破坏数据库,为了数据库安全起见,最好禁止使用xp_cmdShell.
一般情况下,xp_cmdshell对管理员来说也是不必要的,xp_cmdshell的消除不会对Server造成任何影响。
可以将xp_cmdshell消除:
Use Master
Exec sp_dropextendedproc N 'xp_cmdshell'
Go
如果需要的话,可以把xp_cmdshell恢复回来:
Use Master
Exec sp_addextendedproc N 'xp_cmdshell',N 'xplog70.dll'
Go

可以消除的存储过程如下:
sp_makewebtask
xp_cmdshell
xp_dirtree
xp_fileexist
xp_terminate_process
sp_oamethod
sp_oacreate
xp_regaddmultistring
xp_regdeletekey
xp_regdeletevalue
xp_regenumkeys
xp_regenumvalues
sp_add_job
sp_addtask
xp_regread
xp_regwrite
xp_readwebtask
xp_makewebtask
xp_regremovemultistring

对应措施:删除上述存储过程或可执行文件或修改存储过程相应用户组可执行权限,删除上述存储过程对应脚本为:
drop PROCEDURE sp_makewebtask
exec master..sp_dropextendedproc xp_cmdshell
exec master..sp_dropextendedproc xp_dirtree
exec master..sp_dropextendedproc xp_fileexist
exec master..sp_dropextendedproc xp_terminate_process
exec master..sp_dropextendedproc sp_oamethod
exec master..sp_dropextendedproc sp_oacreate
exec master..sp_dropextendedproc xp_regaddmultistring
exec master..sp_dropextendedproc xp_regdeletekey
exec master..sp_dropextendedproc xp_regdeletevalue
exec master..sp_dropextendedproc xp_regenumkeys
exec master..sp_dropextendedproc xp_regenumvalues
exec master..sp_dropextendedproc sp_add_job
exec master..sp_dropextendedproc sp_addtask
exec master..sp_dropextendedproc xp_regread
exec master..sp_dropextendedproc xp_regwrite
exec master..sp_dropextendedproc xp_readwebtask
exec master..sp_dropextendedproc xp_makewebtask
exec master..sp_dropextendedproc xp_regremovemultistring

数据库中如发现D99_Tmp或者D99_cmd数据表,请先通知网站管理员修补sql注入漏洞,该表为某SQL注入工具默认自增表(啊D),内容为C盘目录下全部文件及文件夹名称,服务器网管应检查xp_dirtree扩展存储过程权限,设置为public组不可读即可防止恶意访客读取本地文件信息,或删除xp_dirtree存储过程或删除xpstar.dll文件,该文件位于sql安装目录下。对应脚本为:
EXEC sp_addextendedproc xp_dirtree ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_fileexist ,@dllname ='xpstar.dll'

转载于:https://www.cnblogs.com/cole2295/archive/2009/07/11/1520935.html

weixin_30888027
关注
mssql临时表
windowsliusheng的专栏
07-06 924
IF object_id('[tempdb].[dbo].#tmp') IS NOT NULL --判断临时表#tmp是否存在,存在则删除 drop table #tmp    --插入原表数据到临时表 SELECT  * INTO    #1 FROM ( SELECT    Code           FROM    Task         ) T           
sql数据库#tmp什么含义?
weixin_30371469的博客
07-24 2675
mssql数据库可以使用临时表,临时表有本地和全局之分,其在名称、可见性上有区别。本地临时表的名称以单个#开头;它们仅对当前的用户会话session是可见的;当用户会话结束也就是断开连接时被删除。全局临时表的名称以## 打头,创建后对任何用户都是可见的,当所有引用该表的用户都从Server 断开连接时被删除。 转载于:https://www.cnblogs.com/hushzhang/p/722...
执行mySQL产生临时数据占满了/tmp磁盘空间的解决办法
热门推荐
ssliudh1226的博客
08-17 3万+
mysql查询出现:mysql 126, "Incorrect key file for table '/tmp/#sql_597e_1.MYI'; try to repat it 原因是:执行mySQL产生临时数据占满了/tmp磁盘空间的解决办法 当mysql的临时文件大小设置太小,或者由于并发量太大导致临时文件存放的目录空间大小不够时都会报这个错误。”incorrect key f
在一个目录下边快速创建大量文件及目录(使用dos batch)
数据库天地
03-18 158
@echooffsetnum=100000REMfor/L%%iin(1,1,%num%)doecho"hereis%%i"ifnotexisttmpmkdirtmpREM~for/L%%iin(1,1,%num%)dotouch"tmp/abc%%i.txt"for/L%%iin(1,1,%num%)doecho"abc%%i">"tmp/abc%%i.txt"for/L%%iin(1...
hive会产生大量的tmp文件
似水流年
03-31 6161
在实际的hive数据开发,目录/tmp目录下产生大量文件数据,占用大量的磁盘空间。 下面是cloudera官网给出解释: http://community.cloudera.com/t5/Storage-Random-Access-HDFS/Why-does-tmp-hive-admin-take-up-so-much-space/m-p/38863#
MSSQL数据库发现D99_tmp表的处理方法
qiuqingpo的专栏
05-07 1204
相信很多ASP+MSSQL的网站都有被人注入过的经历,数据库多了一些表,类似以下的表D99_tmp,D99_cmd,kill_kk。D99_tmpsubdirectory,depth,file三个字段,里面的数据都是网站文件和目录)MSSQL数据库存在几个危险的扩展存储过程,默认Public组可执行权限,SQL注入者可利用此读取文件目录及用户组,并可通过先写入数据库然后导出为文件的方
D99_TmpD99_TmpD99_CMD出现在数据库解决办法
注重长远 天天积累 cqujsjcyj
09-24 236
  转自:http://www.hh-sh.cn/read_news.aspx?News_ID=2049     D99_TmpD99_TmpD99_CMD出现在数据库解决办法 阅读117次        [2010-7-5 9:08:52]              防止非法表D99_Tmp,kill_kk的出现是防止我们的网站不被攻击,同时也...
ccd_landing_new_d99.ccd99.cc_softlyusq_https://ccd85.com_https//
09-30
"Hair"在这里可能是一个比喻,暗示这是项目或系统构建过程的第一步,或者是一个关键的解锁要素。然而,没有更多背景信息,这个描述的具体含义难以准确解读。 【标签】"d99.ccd99.cc softlyusq ...
DarksTeam 97d99i Client_TALISMANSERVER_talisman_
10-02
"DarksTeam 97d99i Client_TALISMANSERVER_talisman_" 这个标题暗示了我们正在处理一个与DarksTeam相关的客户端软件,特别是97d99i版本,它可能是一个游戏或者某种在线服务的客户端。"TALISMANSERVER"部分指明了这个...
2e02638e777f9d99f09b6a33904fef6c8765.zip_gesture recognition_han
07-13
在2e02638e777f9d99f09b6a33904fef6c8765.pdf文件,很可能详细介绍了手势识别的具体实现方法、算法选择以及实验结果。可能涵盖了不同的手势识别技术,如传统机器学习算法与深度学习模型的比较,比如使用HOG...
在SpringBoot转换_geometry数据_到Mysql_Postgresql的TOAST_以及Postgis常用函数_以及JTS操作进行位置计算---PostgreSQL工作笔记008
添柴程序猿的专栏
08-03 598
可以看到这里的geoCol,就是对应的geometry的那个数据,格式就是字符串类型的,16进制的数据。然后把这个数据使用BinaryParser进行转换就可以了,转换后得到的Geometry类型的数据通过。然后我们拿到这个带有格式的数据以后就可以,使用mysqlsql语句,插入了。16进制的,然后我们拿到16进制的数据以后.调用toString()方法会得到一个字符串。这个字符串就是带有格式的,比如。
git co -b Korea_D99E remotes/origin/Korea_D99E
07-11
这个命令的作用是在本地仓库创建一个名为 `Korea_D99E` 的新分支,并将远程仓库 `origin` 的 `Korea_D99E` 分支拉取到本地的新分支。这样您就可以在本地进行相关的修改和操作,而不会影响到远程仓库的其他分支。...
mysql tmp_MySQL数据库之一个mysql /tmp目录爆满问题的处理
weixin_33410492的博客
01-18 960
本文主要向大家介绍了MySQL数据库之一个mysql /tmp目录爆满问题的处理 ,通过具体的内容向大家展现,希望对大家学习MySQL数据库有所帮助。突然收到zabbix告警,说mysql服务器的/目录磁盘空间不足。登录到服务器,看了下发现100GB的根目录,居然使用了差不多90GB。这台服务器上只跑了一个MySQL,应该不是日志未清理等其它原因造成的。(说明:下面的几张截图是后期截的,当时已经有...
4.网络编程
weixin_45476535的博客
09-14 598
程序注册端口:1024-49151。单个协议下,端口号不能冲突。公有端口0-1023。
Redis的Key的过期策略是怎样实现的?
daydayup
09-19 659
在学习Redis时,我们知道可以设置Key的过期时间,我们还知道,Redis一大特点–。那么当Redis的数据量起来时,如果直接遍历所有的Key,那么对于Key过期时间的校验应该很费时间,那么Redis究竟是怎样做的呢?本文就来探讨关于Redis的Key的过期册策略。Redis的过期策略有两种。
Java项目: 基于SpringBoot+mybatis+maven课程答疑系统(含源码+数据库+毕业论文)
weixin_43860634的博客
09-14 880
Java项目: 基于SpringBoot+mybatis+maven课程答疑系统(含源码+数据库+毕业论文)
阿里1688一面总结
weixin_44804108的博客
09-19 237
发布-订阅模式,即当实验发生变更时,就发出一个变更事件,然后,每台机器感知到这个变更事件后,清空本地缓存,触发reload操作。为了避免大量请求打到DB,可以对查询请求进行加锁,保证相同的实验只有一个线程去查,然后更新到缓存,其他的请求,走缓存查询结果。运维团队将扩缩容事件投递在kafka,容量平台起一个线程去订阅变更事件,当有事件时,更新公共缓存的数据。kafka单broker的消息是可以保证顺序性的,但是kafka集群的消息实际是无序的。首先,面试官进行对业务进行介绍,然后,候选人进行自我介绍。
No operations allowed after statement closed
最新发布
abments的博客
09-20 547
错误信息:参考解决方案 https://github.com/alibaba/druid/issues/5549如果修改socket-timeout不生效,可以尝试修改 socketTimeout。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值