我的电脑有病毒吗？

Question

这看起来就像你被入侵了（“pwn3d”）。这是相当可疑的活动。我会尽快把那个盒子从网络上删除，开始调查入侵是如何发生的，并准备好从备份中恢复机器，如果盒子上安装了某些持久的东西。

您的机器上可能尚未安装任何持久性程序（目前）。我倾向于认为没有。

你可能已经xp_cmdshell在您的 SQL Server 实例中启用了此功能，远程攻击者正在利用此功能试图破坏代码并在您的机器上执行它。根据cmd.exe由此产生的事实sqlservr.exe，这似乎是可能的。

如果你知道你不需要xp_cmdshell为你托管的任何应用程序启用该功能，那么我会继续禁用它（这些说明讨论如何启用它，但禁用它可以通过相同的过程来完成，使用“0”来禁用而不是使用“1”来启用）。

看起来您可能正在阻止来自服务器的出站 FTP（太棒了！），这可能会阻止攻击者关闭并运行他们的代码。

SQL Profiler 可以向您显示攻击者正在运行的查询，这些查询会导致xp_cmdshell运行。据推测，他们正在将 SQL 注入使用 SQL Server 的应用程序。

Answer 1

这看起来就像你被入侵了（“pwn3d”）。这是相当可疑的活动。我会尽快把那个盒子从网络上删除，开始调查入侵是如何发生的，并准备好从备份中恢复机器，如果盒子上安装了某些持久的东西。

您的机器上可能尚未安装任何持久性程序（目前）。我倾向于认为没有。

你可能已经xp_cmdshell在您的 SQL Server 实例中启用了此功能，远程攻击者正在利用此功能试图破坏代码并在您的机器上执行它。根据cmd.exe由此产生的事实sqlservr.exe，这似乎是可能的。

如果你知道你不需要xp_cmdshell为你托管的任何应用程序启用该功能，那么我会继续禁用它（这些说明讨论如何启用它，但禁用它可以通过相同的过程来完成，使用“0”来禁用而不是使用“1”来启用）。

看起来您可能正在阻止来自服务器的出站 FTP（太棒了！），这可能会阻止攻击者关闭并运行他们的代码。

SQL Profiler 可以向您显示攻击者正在运行的查询，这些查询会导致xp_cmdshell运行。据推测，他们正在将 SQL 注入使用 SQL Server 的应用程序。

相关内容