最近遇到,記錄于此��。遇到此問(wèn)題時(shí)��,通過(guò)搜索��,在金蝶社區(qū)的找到相關(guān)內(nèi)容�,地址是:http://community.kingdee.com/Questions/Q330564.aspx很感謝熱心的回答者�����。根據(jù)fircejjb的提示����,我查看了系統(tǒng)進(jìn)程和C盤windows,system32等目錄,發(fā)現(xiàn)若干木馬進(jìn)程����。并且在系統(tǒng)服務(wù)中添加了許多亂七八糟的服務(wù)。這些東西都有一個(gè)共同的特征����,就是名稱都是沒(méi)有規(guī)律的英文數(shù)字組合,應(yīng)該是用工具隨意生成的�����。
緊接查看操作系統(tǒng)的用戶��,發(fā)現(xiàn)有帶$結(jié)尾的用戶,看來(lái)黑客都喜歡這么干�。
最后在網(wǎng)上搜索'xp_cmdshell',發(fā)現(xiàn)很多利用這個(gè)黑客文章,如:http://www.77169.com/classical/HTML/44241.html于是進(jìn)企業(yè)管理器查看SQL的SA用戶��,果然就是罪魁禍?zhǔn)琢?,居然沒(méi)有設(shè)密碼。另外還發(fā)現(xiàn)一個(gè)具有和SA相同權(quán)限的用戶hxhack����。真是狂暈啊。�。。�����。����。。希望經(jīng)常中招的朋友都多注意了����。最后的解決辦法采用了小杰的語(yǔ)句:第一步執(zhí)行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
第二步執(zhí)行:sp_addextendedproc 'xp_cmdshell','xpsql70.dll'
但是�,有時(shí)候這兩個(gè)命令并不能奏效,接下來(lái)我們就用新的命令
第一步執(zhí)行:
create procedure sp_addextendedproc --- 1996/08/30 20:13
@functname nvarchar(517),/* (owner.)name of function to call
*/
@dllname varchar(255)/* name of DLL containing function */
as
set implicit_transactions off
if @@trancount > 0
begin
raiserror(15002,-1,-1,'sp_addextendedproc')
return (1)
end
dbcc addextendedproc( @functname, @dllname)
return (0) -- sp_addextendedproc
GO
第二步執(zhí)行
EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int總結(jié):如果不經(jīng)常創(chuàng)建新賬套����,可以刪除xp_cmdshell存儲(chǔ)過(guò)程�,刪除'xpsql70.dll' 文件����。將cmd.exe,net.exe�,ftp.exe ,regedit.exe�,regedt32.exe等文件改名。如果要?jiǎng)?chuàng)建賬套�,則最好安裝防火墻,將來(lái)自外網(wǎng)的所有端口關(guān)掉�����。內(nèi)網(wǎng)則按K3的部署要求只開(kāi)放相應(yīng)端口���。當(dāng)然��,SA和系統(tǒng)用戶都一定要設(shè)置夠復(fù)雜的密碼����,可不能偷懶,否則像我一樣重裝服務(wù)器的活計(jì)是免不了了�����。