ESS4提示sql入站通讯是否允许通过?
本帖最后由 dy8 于 2011-12-16 09:43 编辑http://img1.5d6d.net/201112/16/56488186_132399874316H7.jpg
如图,这几天ESS提示有入站通信,前几天我都选择了暂时拒绝,这是有原因的,一个月前,我的电脑从内网环境改成了直连外网,网通拨号,当天就中了木马,在c盘会提示什么1.exe,xx.exe.登陆类是的东西,删除了还有,重启电脑,登陆时就会出现四个登陆用户选择。只能重装系统。又换回了内网。
后来我查了一下, 网上说是通过sql的1433端口入侵,被植入了木马,被肉鸡了。这次我又换回外网直连adsl,就出现了如图的提示,以为前车之鉴,但是我又不确定是不是被人入侵,就选择了暂时拒绝。说明一下:我电脑上装的有sql2000,单位的机子,平时有用到数据库的办公软件。公司的工作环境一般都是在内网,同事电脑连接我的服务器也是内网环境。并不存在外网的数据库连接要求。
哪位能解释一下。看看是否有被侵入的可能。
补充一下,这几天如图这样的提示的IP地址都不一样,入124.237.77.59, 111.120.189.173.等等 难道没人知道吗,版主能看看吗。。 可以,不是威胁项 你中毒了,我也中过这个病毒,是cmd病毒(你看看启动项里面是不是有个启动cmd。exe的启动项,很长,而且去除不了),这个病毒是通过sql来挂马的,具体解决方法在下面:
xp_cmdshell 操作系统命令外壳 。这个过程是一个扩展存储过程,用于执行指定命令串,并作为文本行返回任何输出。
一般情况下,xp_cmdshell对管理员来说也是不必要的,xp_cmdshell的消除不会对Server造成
任何影响。
可以将xp_cmdshell消除:( 用SQL的 “查询分析器”,还有那个单引号是英文状态的,纳闷,原文是中文状态下的 )
Use Master
Exec sp_dropextendedproc N'xp_cmdshell'
Go
如果需要的话,可以把xp_cmdshell恢复回来:
Use Master
Exec sp_addextendedproc N'xp_cmdshell', N'xplog70.dll'
Go
[经验]
最好把Server的xp_cmdShell存贮过程消除。
页:
[1]