它是我电脑上的病毒吗?
iho*_*rko 2 virus ftp sql-server command-line anti-virus
sqlservr.exe 以某种方式在我的 PC 上启动 cmd.exe(带有非常奇怪的命令行参数)和 ftp.exe 进程,请查看屏幕截图。我已经安装了杀毒软件。它可能是什么,如何治疗或修复它?谢谢
Eva*_*son 13
这看起来好像你已经受到了损害(“pwn3d”)。这是非常可疑的活动。我会尽快把那个盒子从“网络”上拿下来,开始调查这个漏洞是如何发生的,如果盒子上安装了一些持久的东西,准备好从备份中恢复机器。
您的机器上可能没有永久安装任何东西(还)。我倾向于认为没有。
很可能您已xp_cmdshell在 SQL Server 实例中启用,并且远程攻击者正在使用该功能试图关闭代码并在您的机器上执行它。基于由此cmd.exe产生的事实sqlservr.exe似乎很可能。
如果您知道不需要xp_cmdshell为您托管的任何应用程序启用该功能,我会继续禁用它(这些说明讨论启用它,但禁用它可以通过使用“0”禁用的相同过程完成的“1”启用)。
看起来您可能正在阻止来自服务器的出站 FTP(太棒了!),这可能会阻止攻击者关闭他们的代码并运行它。
SQL Profiler 可以向您显示攻击者正在运行的查询以导致xp_cmdshell运行。据推测,他们将 SQL 注入到使用 SQL Server 的应用程序中。
| 归档时间: |
|
| 查看次数: |
969 次 |
| 最近记录: |