很不幸,这两天发现电脑上会出现大量p.exe ftp.exe 内存占用量很大,还修改了操作系统启动项(卡巴发出警报),启动时电脑会自动执行FTP去下载一系列EXE文件,确认遭遇,但用杀软查杀病毒(360安全卫士 金山安全卫士、 卡巴斯基),又没发现什么病毒。
后来百度,有人提示说可能是SQL Server有漏洞,Sqlserver存储过程上xp_cmdshell,网上资料解释说:
xp_cmdshell 操作系统命令外壳 。这个过程是一个扩展存储过程,用于执行指定命令串,并作为文本行返回任何输出。
联想到发现问题的当天,为了测试程序开启了本机SQL数据库的TCP连接,且SA密码极为简单。再查看SQL Server日志(见附件),果然,日志中有一IP地址大量登录失败的记录,证实是遭遇了SA密码暴力破解!
看来,攻击是这样的:扫描发现SQLServer端口->暴力破解SA密码->通过SA执行操作系统命令->FTP下载木马程序。