ESS4提示sql入站通讯是否允许通过？

dy8

                               
登录/注册后可看大图

如图，这几天ESS提示有入站通信，前几天我都选择了暂时拒绝，这是有原因的，一个月前，我的电脑从内网环境改成了直连外网，网通拨号，当天就中了木马，在c盘会提示什么1.exe，xx.exe.登陆类是的东西，删除了还有，重启电脑，登陆时就会出现四个登陆用户选择。只能重装系统。又换回了内网。
后来我查了一下， 网上说是通过sql的1433端口入侵，被植入了木马，被肉鸡了。这次我又换回外网直连adsl，就出现了如图的提示，以为前车之鉴，但是我又不确定是不是被人入侵，就选择了暂时拒绝。说明一下:我电脑上装的有sql2000，单位的机子，平时有用到数据库的办公软件。公司的工作环境一般都是在内网，同事电脑连接我的服务器也是内网环境。并不存在外网的数据库连接要求。
哪位能解释一下。看看是否有被侵入的可能。
补充一下，这几天如图这样的提示的IP地址都不一样，入124.237.77.59,      111.120.189.173.等等

dy8

难道没人知道吗，版主能看看吗。。

jery

可以，不是威胁项

andy-zl

你中毒了，我也中过这个病毒，是cmd病毒（你看看启动项里面是不是有个启动cmd。exe的启动项，很长，而且去除不了），这个病毒是通过sql来挂马的，具体解决方法在下面：
xp_cmdshell 操作系统命令外壳 。这个过程是一个扩展存储过程，用于执行指定命令串，并作为文本行返回任何输出。

一般情况下，xp_cmdshell对管理员来说也是不必要的，xp_cmdshell的消除不会对Server造成
  任何影响。
   可以将xp_cmdshell消除：( 用SQL的 “查询分析器”，还有那个单引号是英文状态的，纳闷，原文是中文状态下的 )
   Use Master
   Exec sp_dropextendedproc N'xp_cmdshell'
   Go
   
   如果需要的话，可以把xp_cmdshell恢复回来：
   Use Master
   Exec sp_addextendedproc N'xp_cmdshell', N'xplog70.dll'
   Go
   

[经验]
   最好把Server的xp_cmdShell存贮过程消除。