利用金山安全软件轻松解决1433端口入侵的一系列现象

shinfocom

浏览: 1242607 次

最近访客更多访客>>

xubiao8716

likegame

sdoseabow

ywpp

博主相关

博客

微博

相册

留言

关于我

文章分类

全部博客 (1575)

社区版块

存档分类

没有想到在项目最忙的时候计算机中毒了，杀了两天都没有结果。不知道该怎么办，在网上看到了下面的这篇文章觉得可能有点用暂时的保存下来。以备后来使用！

近些时遇到过好几次，现象是金山毒霸的实时防毒不停地拦截到1.exes1.exe cao.exest1.exe boot1.exe sp1433.exe hex1.exe等等，病毒路径C:\ C:\WINDOWS\system32\ C:\RECYCLER\ C:\Program Files\SQL\用户也许会想，怎么毒霸杀不完呢？其实正确理解并不是杀不完，而是用户的电脑内所谓的黑客入侵了，现在吧给用户远程处理的一个过程分享一下，其实也很简单---本人也是菜鸟，所以说的不是那么精确，大家理解意思就行，因为是用户电脑，所以没有截图，好喔就还利用金山的工具还搞定它吧，准备软件，毒霸已经安装上了，那么我们在准备好金山网盾防火墙吧。首先查看电脑中毒现象----在以上路径不停地拦截到病毒，再由SQL怀疑到是否是通过1433端口入侵，查看计算机用户账户，多出了admin$账户，那么就先依照1433端口入侵处理吧，过程如下----

给用户装上金山网盾防火墙，然后导入我提前编辑好的规则【主要是要拦截TCP1433端口的通信】倒入之后保存，在防开启端口扫描功能，好了，这次看看，毒霸把以上病毒删掉之后，不在出现了，这么就算完了吗，并没有，我们开始做扫尾，用户毒霸全盘查杀再次杀掉stet.exe等等....下来还需要毒霸的一个新功能【防黑客补丁】--用户还是用是毒霸7.0版，所以我只能暂时给他用独立版的防黑客补丁了，开始扫描，之后修复。然后我们右键我的电脑---管理---用户账户，删除这个admin$账户。然后显示计算机受保护文件和隐藏文件，我们就删除那些病毒尸体吧，和C:\Program Files下那些纯数字的文件夹【注意创建日期】，这回你想咋删就咋删【记住不要删除了系统文件哈，看看文件的创建日期】，好了其实就这么简单，重启计算机吧，重启之后吧防火墙里的封闭1433端口的规则禁用就可以了，那么我们不需要SQL的永远封掉这个端口吧，还要使用SQL的童鞋，这里给你推荐一下达爷的博客看看http://bbs.duba.net/thread-22446421-1-1.html
http://hi.baidu.com/197321054/blog/item/8c99c717ff3e6a18c93d6d54.html

附金山网盾防火墙下载地址http://bbs.duba.net/thread-22237996-1-1.html
本人的破规则 网盾防火墙自定义规则2.rar (1.61 KB)

独立版金山毒霸防黑客补丁 防黑客补丁.zip (489.68 KB)

大拿们见笑了啊

案例：

win7遭入侵，出现异常用户

求救C:\WINDOWS\system32出现了一些莫名的文件

公司服务器装了金山毒霸+金山卫士仍然被黑客光顾并经常弹毒 - 金...
昨天发现system32下留有一个雪歌.txt里面写着“在雪歌的双手之下,

参考资料:

教你如何关闭1433端口，防止服务器入侵！

更改SQL Server默认的1433端口

（1）SqlServer服务使用两个端口：TCP-1433、UDP-1434。其中1433用于供SqlServer对外提供服务，1434用于向请求者返回SqlServer使用了那个TCP/IP端口。
可以使用SQL Server的企业管理器更改SqlServer的默认TCP端口。方法如下：
a、打开企业管理器，依次选择左侧工具栏的“Microsoft SQL Servers - SQL Server组”，打开“SQL实例”（实际环境中为要修改的SQL Server服务器名称）的属性对话框，点击“常规”选项卡的最下方的“网络配置（N）”按钮，就可以打开“SQL Server 网络使用工具”对话框。
b、在“启用的协议”列表里有TCP/IP协议，在属性里的默认端口选项中输入要修改的端口号即可修改。还有一项为隐藏服务器，如果选中则表示着客户端无法通过枚举服务器来看到这台服务器，起到保护的作用，而且不影响连接。
（2）SqlAgent服务使用TCP-1625、TCP-1640端口提供服务。
（3）SQL 查询分析器，通过1601端口访问1433，连接SqlServer

SQL Server端口更改后的数据库连接方式

SQL Server端口,我们可以通过"服务器端网络试用工具"和"客户端实用工具"
来设定,设定方法是:

分别使用"服务器端网络试用工具"和"客户端实用工具"
设置"常规选项"->"启用的协议"->"Tcp/Ip"->"属性"中的默认端口,假设为1455

然后测试你的端口是否起效,可以使用telnet sql服务器地址 1455
看看能不能telnet通,如果可以,那就可以进行下面的测试

以往的书写中都没有带端口号,所以比较好写,但是现在更改了端口号了,很多朋友就不是很清楚该如何写连接语句了.下面的数据库连接语句就是更改端口后的形式:

---------------------------------------------------------------------------------
Set oConn = Server.CreateObject("ADODB.Connection")
sConn = "Driver={SQL Server};Server=服务器地址,1455;Database=数据库;UID=用户名;PWD=密码;"
oConn.Open sConn
Response.Write oConn
----------------------------------------------------------------------------------

输出结果为:
----------------------------------------------------------------------------------
Provider=MSDASQL.1;Extended Properties="DRIVER=SQL Server;SERVER=服务器地址,1455;UID=用户名;PWD=密码;APP=Internet Information Services;WSID=**;DATABASE=数据库"
------------------------------------------------------------------------
这表明我们已经成功连接数据!

分享到：