最近遇到,記錄于此���。遇到此問題時,通過搜索,在金蝶社區的找到相關內容��,地址是:http://community.kingdee.com/Questions/Q330564.aspx很感謝熱心的回答者。根據fircejjb的提示,我查看了系統進程和C盤windows,system32等目錄���,發現若干木馬進程。并且在系統服務中添加了許多亂七八糟的服務�����。這些東西都有一個共同的特征���,就是名稱都是沒有規律的英文數字組合�,應該是用工具隨意生成的。
緊接查看操作系統的用戶����,發現有帶$結尾的用戶����,看來黑客都喜歡這么干��。
最后在網上搜索'xp_cmdshell',發現很多利用這個黑客文章,如:http://www.77169.com/classical/HTML/44241.html于是進企業管理器查看SQL的SA用戶����,果然就是罪魁禍首了����,居然沒有設密碼���。另外還發現一個具有和SA相同權限的用戶hxhack。真是狂暈啊�。�����。。�。���。��。希望經常中招的朋友都多注意了。最后的解決辦法采用了小杰的語句:第一步執行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
第二步執行:sp_addextendedproc 'xp_cmdshell','xpsql70.dll'
但是����,有時候這兩個命令并不能奏效�����,接下來我們就用新的命令
第一步執行:
create procedure sp_addextendedproc --- 1996/08/30 20:13
@functname nvarchar(517),/* (owner.)name of function to call
*/
@dllname varchar(255)/* name of DLL containing function */
as
set implicit_transactions off
if @@trancount > 0
begin
raiserror(15002,-1,-1,'sp_addextendedproc')
return (1)
end
dbcc addextendedproc( @functname, @dllname)
return (0) -- sp_addextendedproc
GO
第二步執行
EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int總結:如果不經常創建新賬套,可以刪除xp_cmdshell存儲過程��,刪除'xpsql70.dll' 文件�。將cmd.exe,net.exe,ftp.exe ����,regedit.exe,regedt32.exe等文件改名�����。如果要創建賬套���,則最好安裝防火墻����,將來自外網的所有端口關掉。內網則按K3的部署要求只開放相應端口���。當然,SA和系統用戶都一定要設置夠復雜的密碼��,可不能偷懶�,否則像我一樣重裝服務器的活計是免不了了。