看來這病毒是跟sql有關了.mssql也如windows一樣東西好用人性化,但就是不安全。在具體清除這個病毒前我們先來了解一下mssql都能為入侵者帶來跟些便利。
xp_cmdshell用過mssql的朋友都知道它是作業系統命令外殼,這個過程是乙個擴充套件儲存過程,用於執行指定命令串,並作為文字行返回任何輸出。通過它執行的命令字串實際上是呼叫了cmd.exe來委託執行,這就解釋了為什麼總有二個程序是固定的(ftp.exe是被cmd.exe呼叫的用來與遠端計算機通訊),cmd.exe在入侵者手裡可是個好東西,什麼新增使用者呀,刪除檔案呀甚至修改登錄檔都不在話下!可見它有多麼可怕了吧。不過也不用害怕,也不是隨便乙個人都可以呼叫xp_cmdshell這個儲存過程的,須要有一定的許可權;在mssql中一共有8中許可權分別是 sysadmin dbcreator diskadmin processadmin serveradmin setupadmin securityadmin bulkadmin 這8種 每乙個都具有不同的許可權,一般來說入侵者都是拿的sysadmin許可權因為它最高。而sa使用者正好有這個許可權,很多從為了方便就把sa使用者的密碼設為空或者和使用者名稱一樣(我就是)從而給入侵者帶來了可乖之機;下面來說說解救之法。
首先我們要刪除儲存過程(其實它的用處並不大,反而會帶來安全隱患)
use master
exec sp_dropextendedproc 'xp_cmdshell' go
恢復cmdshell的sql語是:
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
這樣就萬無一失了,有些入侵者還會在你機器裡留下後門,所以還要檢查一下windows使用者是否正常,因為通過net user命令可以新增乙個使用者,用卡巴殺掉其它病毒,重啟,至此病毒就被清除了。
打響IT運維保衛戰
在it運維中會遇到的問題 根據調查,目前在運維過程中,會遇到以下問題 1 缺乏工單記錄,紙質報告難以彙總 工程師大多沒有養成記錄習慣,每個月彙總報告時,對自己的工作量 所維護系統的整體情況還是一頭霧水。而且紙質的故障處理報告資訊要素不全,統計和查詢都是頭痛的問題。2 無序的 救火式 it管理維護模式...
Trustview 打響文件安全保衛戰
一 前提 在今日的網際網路環境下,資訊的傳播變得非常容易。據中國國家資訊保安測評認證中心調查,資訊保安的現實威脅主要為資訊洩露和內部人員犯罪,而非病毒和外來黑客引起。為保證內部資訊的安全性。往往先想到外部攻擊,因此會考慮到防火牆 入侵檢測等技術,而內部的資訊洩露往往不受重視。據權威統計各種安全漏洞造...
Rootkit 真刀真槍的許可權保衛戰
通常,我們在獲得了對目標的控制權後,還想保持這種控制許可權,於是就出現了 木馬後門,rootkit之類的保護許可權的手段。首先來說一下我們常見的應用層次的 木馬後門,比如我們常見的遠端控制類的 軟體,像國外的sub7,vnc,netbus,國內的冰河,灰鴿子,黑洞等等,這些大家都很熟悉就不詳細介紹了...