`
ynduanlian
  • 浏览: 34752 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

暗渡陈仓?遭遇借SQLServer数据库的木马(P.exe ftp.exe偷偷运行)攻击!

 
阅读更多

很不幸,这两天发现电脑上会出现大量p.exe ftp.exe 内存占用量很大,还修改了操作系统启动项(卡巴发出警报),启动时电脑会自动执行FTP去下载一系列EXE文件,确认遭遇,但用杀软查杀病毒(360安全卫士 金山安全卫士、 卡巴斯基),又没发现什么病毒。

 

后来百度,有人提示说可能是SQL Server有漏洞,Sqlserver存储过程上xp_cmdshell,网上资料解释说:  

xp_cmdshell 操作系统命令外壳 。这个过程是一个扩展存储过程,用于执行指定命令串,并作为文本行返回任何输出。 

 

联想到发现问题的当天,为了测试程序开启了本机SQL数据库的TCP连接,且SA密码极为简单。再查看SQL Server日志(见附件),果然,日志中有一IP地址大量登录失败的记录,证实是遭遇了SA密码暴力破解!

 

看来,攻击是这样的:扫描发现SQLServer端口->暴力破解SA密码->通过SA执行操作系统命令->FTP下载木马程序。

  • 大小: 106.8 KB
分享到:
评论

相关推荐

Global site tag (gtag.js) - Google Analytics