2

Каким-то образом sqlservr.exe запускает процессы cmd.exe (с очень странными параметрами командной строки) и ftp.exe на моем ПК, см. Скриншоты. Я уже установил антивирус. Что это может быть, как лечить или это исправить? Спасибо

1 ответ1

13

Это похоже на то, что вы были скомпрометированы ("pwn3d"). Это довольно подозрительная деятельность. Я бы как можно быстрее достал эту коробку из сети, начал бы расследовать, как могло произойти нарушение, и был бы готов восстановить машину из резервной копии, если на коробке было установлено что-то постоянное.

Возможно, на вашем компьютере не установлено ничего постоянного (пока). Я склонен думать, что нет.

Вероятно, в вашем экземпляре SQL Server включена функция xp_cmdshell и удаленный злоумышленник использует эту функцию, пытаясь отключить код и выполнить его на вашем компьютере. Исходя из того, что cmd.exe порождается из sqlservr.exe это кажется вероятным.

Если вы знаете, что вам не нужна функциональность xp_cmdshell для любого приложения, которое вы размещаете, я бы отключил его (в этих инструкциях обсуждается, как включить его, но отключить его можно с помощью того же процесса, используя "0" для отключения). вместо "1" включить).

Похоже, вы можете заблокировать исходящий FTP с сервера (браво!) и это, вероятно, мешает злоумышленнику свернуть свой код и запустить его.

SQL Profiler может показать вам запросы, которые выполняет злоумышленник, чтобы запустить xp_cmdshell . Предположительно они вводят SQL в приложение, использующее SQL Server.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .