我的电脑有病毒吗?

我的电脑有病毒吗?

不知何故,sqlservr.exe 在我的 PC 上启动了 cmd.exe(带有非常奇怪的命令行参数)和 ftp.exe 进程,请参见屏幕截图。我已经安装了防病毒软件。这可能是什么问题,如何处理或修复?谢谢

在此处输入图片描述

在此处输入图片描述

答案1

这看起来就像你被入侵了(“pwn3d”)。这是相当可疑的活动。我会尽快把那个盒子从网络上删除,开始调查入侵是如何发生的,并准备好从备份中恢复机器,如果盒子上安装了某些持久的东西。

您的机器上可能尚未安装任何持久性程序(目前)。我倾向于认为没有。

你可能已经xp_cmdshell在您的 SQL Server 实例中启用了此功能,远程攻击者正在利用此功能试图破坏代码并在您的机器上执行它。根据cmd.exe由此产生的事实sqlservr.exe,这似乎是可能的。

如果你知道你不需要xp_cmdshell为你托管的任何应用程序启用该功能,那么我会继续禁用它(这些说明讨论如何启用它,但禁用它可以通过相同的过程来完成,使用“0”来禁用而不是使用“1”来启用)。

看起来您可能正在阻止来自服务器的出站 FTP(太棒了!),这可能会阻止攻击者关闭并运行他们的代码。

SQL Profiler 可以向您显示攻击者正在运行的查询,这些查询会导致xp_cmdshell运行。据推测,他们正在将 SQL 注入使用 SQL Server 的应用程序。

相关内容