日期:2014-05-19  浏览次数:20654 次

求救:服务器被黑客通过xp_cmdshell攻击!(急)
已经把扩展存储过程里的xp_cmdshell删除了,而且还把xplog70.dll删除了,但发现黑客还可以在我的服务器里重新添加xp_cmdshell,还可以在我的mssql里添加新表?请问怎样可以解决这个问题呢?

------解决方案--------------------
可能他(她)具有你 administrator 的权限了
------解决方案--------------------
我不要用sa用户啊!建个新用户,给很少的权限。只能对表select insert update delete
其实的不用给了,把master 的public 角色给分配一下,删除不要的存储过程
use master
EXEC sp_dropextendedproc 'xp_cmdshell '
EXEC sp_dropextendedproc 'Sp_OACreate '
EXEC sp_dropextendedproc 'Sp_OADestroy '
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo '
EXEC sp_dropextendedproc 'Sp_OAGetProperty '
EXEC sp_dropextendedproc 'Sp_OAMethod '
EXEC sp_dropextendedproc 'Sp_OASetProperty '
EXEC sp_dropextendedproc 'Sp_OAStop '
EXEC sp_dropextendedproc 'Xp_regaddmultistring '
EXEC sp_dropextendedproc 'Xp_regdeletekey '
EXEC sp_dropextendedproc 'Xp_regdeletevalue '
EXEC sp_dropextendedproc 'Xp_regenumvalues '
EXEC sp_dropextendedproc 'Xp_regread '
EXEC sp_dropextendedproc 'Xp_regremovemultistring '
EXEC sp_dropextendedproc 'Xp_regwrite '
drop procedure sp_makewebtask

最后把sp_dropextendedproc sp_addextendedproc 也给删除了。
如果他知我window的密码,快点改吧,把不要的端口给关了,如ftp啊什么最好只开个80端口。
sql的端口给改了
cmd.exe都被删掉了,试试command命令,如果这也被删掉了
------解决方案--------------------
xp_dirtree删除。
window cmd.exe命令删除。


------解决方案--------------------
断开网络
找补丁(windows)
更改administrator相关设置
更改SA口令


------解决方案--------------------
应用程序有SQL注入点的话,要改程序了
------解决方案--------------------
给你介绍个工具扫描一下wed 还有很多
------解决方案--------------------
对方肯定加了超级用户,楼主最好看一下有没有隐藏的超级用户,只开80端口,修改FTP帐号密码,现在有些局域网扫描工具很厉害,他只要搞定你局域网一台机器,就可以扫到你局域网的所有帐号和密码。