在数据库里发现了D99_Tmp等几个数据表

很无奈，很明显是别人用SQL注入后用执行master扩展存储过程xp_cmdshell命令添加的，能看看自己的目录吧。得想办法去除啊~

一般的黑客攻击SQL Server时，首先采用的方法是执行master扩展存储过程xp_cmdshell命令来破坏数据库，为了数据库安全起见，最好禁止使用xp_cmdShell

xp_cmdshell可以让系统管理员以操作系统命令行解释器的方式执行给定的命令字符串，
并以文本行方式返回任何输出，是一个功能非常强大的扩展存贮过程。
一般情况下，xp_cmdshell对管理员来说也是不必要的，xp_cmdshell的消除不会对Server造成
任何影响。
可以将xp_cmdshell消除：
Use Master
Exec sp_dropextendedproc N’xp_cmdshell’
Go

如果需要的话，可以把xp_cmdshell恢复回来：
Use Master
Exec sp_addextendedproc N’xp_cmdshell’， N’xplog70.dll’
Go

应该是用su.exe 捣鼓的吧~D99_tmp（subdirectory,depth,file三个字段，里面的数据都是网站文件和目录）.

—————————–

网络文章，现在已经把xp_cmdshell屏蔽了~

用别的办法注入吧~

声明：本文为耿振的博客 http://blog.bordf.com发布文章。转载务必注明出处

注意：转载须保留全文：请保留本文出处！否则耿振的博客将向你网站的主机商投诉。
本文永久地址:http://blog.bordf.com/166/

有2人发表了评论  ↓发表评论↓

• 仅仅只删除了xp_cmdshell存储过程还是不够的，还有其他的一些存储过程也不能留下，我今天就吃了这个亏，又被注入了

  茶盘 @ 2010年六月 2日 | 回复

  • 呵呵 是啊，还有很多 存储过程需要处理的，谢谢！ 有个sqltools工具，一般是hacker用来注入用的，虽然很古老了，但是我们用来检测还是不错的~ 呵呵

    bordf @ 2010年六月 2日 | 回复

Name (必填)

Mail (不会公开) (必填)

网站

表情：<(￣︶￣)> | (⊙ˍ⊙) | ＞﹏＜ | ｂ（￣▽￣）ｄ | （─.─||） | (^_-)

[ Ctrl+Enter提交 ]