关于"cmd.exe ftp.exe的解决方法"
2007-08-06 17:17
239 查看
关于" cmd.exe ftp.exe的解决方法"
前些日子偶的机子也出此问题!很是头疼啊!用了几款杀毒软件如:NOD32、瑞星、Mcafee等都无济于事!只有Mcafee查出在system32下发现两个文件eq和tt,但清除掉后,过上一会就会自动生成了!总是无发彻底清除!
后用木马杀客v5.31查看网络状态,发现1433访问量非常大!1433不是sqlserver的默认端口嘛?说明有人在连接我的数据库(机子上装有slqserver2000用来临时测试用),同时还发现ftp.exe进程在访问一个远程计算机的端口,不知道在下载什么!估计不是什么好东西!看来偶的机子是被人监控了!怎么办?关掉ftp.exe和cmd.exe两个进程后!没多久就又自动被打开了!但我发现被打开的时间没有规律!有时很快就被打开调用,有时则很长时间才又会出现!看来是被别人手动的执行的呢!仔细想了下!看来问题是出在sqlserver 上了,到网上查了下相关资料,最后注意到这个存储过程上xp_cmdshell,网上资料解释说:
xp_cmdshell 操作系统命令外壳 。这个过程是一个扩展存储过程,用于执行指定命令串,并作为文本行返回任何输出。
一般情况下,xp_cmdshell对管理员来说也是不必要的,xp_cmdshell的消除不会对Server造成
任何影响。
可以将xp_cmdshell消除:
=================================================================
xp_cmdshell的删除和恢复
删除扩展存储过过程xp_cmdshell的语句:
exec sp_dropextendedproc 'xp_cmdshell'
恢复cmdshell的SQL语句
EXEC sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
在sqlserver的query analyer中运行以下命令就可以去掉sa的xp-cmdshell权限:
if exists (select * from dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and OBJECTPROPERTY(id, N'IsExtendedProc') = 1) exec sp_dropextendedproc N'[dbo].[xp_cmdshell]' GO
一般SQL2000是通过下面语句恢复: EXEC sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
而SQL97是通过下面语句恢复 EXEC sp_addextendedproc xp_cmdshell ,@dllname ='xpsql70.dll'
sp_addextendedproc'xp_cmdshell','xpsql70.dll' (sql 7.0) sp_addextendedproc'xp_cmdshell','xplog70.dll' (sql 2000)
=================================================================
[经验]
最好把Server的xp_cmdShell存贮过程消除。
于是便将其关闭掉!呵呵。。。。再用木马杀客查看网络状态!哈。。1433端口也比较正常了,而且ftp.exe和cmd.exe也再没有出现过了!看来问题确实出在安全设置上啊!把这次经历贴出来,希望碰到同样问题的朋友能有个参考了!
前些日子偶的机子也出此问题!很是头疼啊!用了几款杀毒软件如:NOD32、瑞星、Mcafee等都无济于事!只有Mcafee查出在system32下发现两个文件eq和tt,但清除掉后,过上一会就会自动生成了!总是无发彻底清除!
后用木马杀客v5.31查看网络状态,发现1433访问量非常大!1433不是sqlserver的默认端口嘛?说明有人在连接我的数据库(机子上装有slqserver2000用来临时测试用),同时还发现ftp.exe进程在访问一个远程计算机的端口,不知道在下载什么!估计不是什么好东西!看来偶的机子是被人监控了!怎么办?关掉ftp.exe和cmd.exe两个进程后!没多久就又自动被打开了!但我发现被打开的时间没有规律!有时很快就被打开调用,有时则很长时间才又会出现!看来是被别人手动的执行的呢!仔细想了下!看来问题是出在sqlserver 上了,到网上查了下相关资料,最后注意到这个存储过程上xp_cmdshell,网上资料解释说:
xp_cmdshell 操作系统命令外壳 。这个过程是一个扩展存储过程,用于执行指定命令串,并作为文本行返回任何输出。
一般情况下,xp_cmdshell对管理员来说也是不必要的,xp_cmdshell的消除不会对Server造成
任何影响。
可以将xp_cmdshell消除:
=================================================================
xp_cmdshell的删除和恢复
删除扩展存储过过程xp_cmdshell的语句:
exec sp_dropextendedproc 'xp_cmdshell'
恢复cmdshell的SQL语句
EXEC sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
在sqlserver的query analyer中运行以下命令就可以去掉sa的xp-cmdshell权限:
if exists (select * from dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and OBJECTPROPERTY(id, N'IsExtendedProc') = 1) exec sp_dropextendedproc N'[dbo].[xp_cmdshell]' GO
一般SQL2000是通过下面语句恢复: EXEC sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
而SQL97是通过下面语句恢复 EXEC sp_addextendedproc xp_cmdshell ,@dllname ='xpsql70.dll'
sp_addextendedproc'xp_cmdshell','xpsql70.dll' (sql 7.0) sp_addextendedproc'xp_cmdshell','xplog70.dll' (sql 2000)
=================================================================
[经验]
最好把Server的xp_cmdShell存贮过程消除。
于是便将其关闭掉!呵呵。。。。再用木马杀客查看网络状态!哈。。1433端口也比较正常了,而且ftp.exe和cmd.exe也再没有出现过了!看来问题确实出在安全设置上啊!把这次经历贴出来,希望碰到同样问题的朋友能有个参考了!
相关文章推荐
- 关于SQL的安全问题(ftp.exe、cmd.exe的解决方法)
- 关于VS2012 (error MSB6001 “cmd.exe”的命令行开关无效。路径的形式不合法)错误的一种解决方法
- 关于cmd.exe ftp.exe解决办法
- 关于"生成cmd.exe"的解决方法
- 电脑中cmd.exe ftp.exe偷偷运行的解决方法
- 关于.net 未能加载文件或程序集 的另一种解决方法 错误信息:genasm.exe(1) : error There was an error initializing
- VS2005下error PRJ0003 : Error spawning 'cmd.exe'的解决方法
- 关于phonegap 安装出现 cmd :command failed with exit code 8错误的解决方法。
- 运行cmd.exe出错的解决方法
- 关于Android4.0 emulator-arm.exe-应用程序错误,内存不能为"read"问题解决方法
- 关于木马群cmdbcs.exe,wsttrs.exe,msccrt.exe,winform.exe,upxdnd.exe等的清除方法第1/2页
- 关于serv-u公网访问出现“打开ftp服务器上的文件夹时发生错误。请检查是否有权限访问该文件夹。详细信息:操作超时”的解决方法
- 关于使用cmd编译java文件出现乱码现象解决方法
- cmd.exe里,path里包含的环境变量没有展开的解决方法
- 关于IBM笔记本开机出现ibmpmsvc.exe应用程序错误的解决方法
- 关于“explorer.exe已经产生错误,将被Windows关闭。您将需要重新启动程序”的解决方法
- Project : error PRJ0003 : Error spawning 'cmd.exe' 错误解决方法
- error PRJ0003 : 生成“cmd.exe”时出错 解决方法
- 关于serv-u公网访问出现“打开ftp服务器上的文件夹时发生错误。请检查是否有权限访问该文件夹。详细信息:操作超时”的解决方法
- 【转】关于Android4.0 emulator-arm.exe-应用程序错误,内存不能为"read"问题解决方法