Microsoft Sql Serverのストアドプロシージャであるxp_cmdshellに関する小さなストーリー。
私の自宅のコンピューターにSql Server 2008 Expressがあり、さまざまなデータベース開発に使用しています。 私はどういうわけか遠隔的に彼女と連絡を取る必要がありました。 標準以外のポートでTCPプロトコルをオンにし、標準のWindowsファイアウォールをセットアップし、1つのデータベースのみを編集するために別のアカウントをカットしてsaをオフにしました。 すべてがセットアップされました-それはうまくいきました。
そして、自宅のコンピューター上の1つのファイルへのアクセスが緊急に必要になったとき、そのファイルの場所と忘れられていたもの(長年のファイルがありました)。 そのような状況で、私はコンピューターにアクセスできず、標準のrdpも、サードパーティのアプリケーションもありませんでした。 希望するファイルを個別に検索することを除いて、原則として、コンピューターを使用して何でもすることができる妻が自由にできました。
私がしたことは、セッションから彼女を離れて、私のアカウントを使用してログインし(SMSパスワードをリセット)、Managment Studioをオンにして、パスワード123456でsaログインをアクティブにすることだけでした(ほんの数時間でした)。 手順が完了すると、私はsaで静かにログインできました。 その後、私が最初にしたことはxp_cmdshellを実行させ、コンソールからファイルを探し始めました。 数時間後に、ファイルが見つかり、妻がアクセスできる場所にコピーされました。 Skype経由でファイルを受信した後、「形成された穴」を安全に忘れました。
その後、数日が経ちました。 今回はホームコンピューターが使用されなかったことを神に感謝します。 文字通り今日、私がコンピューターに乗った後、ウイルス対策はおかしくなりました。10分以内に、System32フォルダーからのファイルを3回ブロックしました。 説明によれば、このファミリーのウイルスの1つであることが判明しましたwww.securelist.com/en/descriptions/115419/Trojan-Downloader.BAT.Ftp.ab 。 長い間、このフォルダーに何を書き込むことができるのか理解できませんでした。uacをオフにすることはありません。管理者権限を必要とするすべてのプログラムをチェックします。 System32フォルダーを監視しても結果は得られませんでした。ウイルス対策プログラムがすぐにブロックしたため、ファイルを表示する時間がありませんでした。 標準のWindowsタスクマネージャーには異常なアクティビティは表示されませんでしたが、Process Explorerもあります。 それを起動すると、sqlサーバーサービスからのcmd子プロセスがすぐに目を引き、それがftpプロセスを起動しました。 saまたはxp_cmdshellを無効にしなかったことをすぐに思い出しました。 まず、ファイアウォールのアクセスを遮断してから、sa、次にxp_cmdshellを遮断しました。その後、ウイルス対策は落ち着きました。
このすべての状況で、私がたった一つのことに気づきました。彼らが開いている非標準ポートをどれだけ速くスキャンし、この「ホール」を使用しようとしたかです。
結論は明らかです-愚か者自身。 ただし、ウイルス対策用でない場合は、コンピューターへのオープンアクセスを長い間覚えていない可能性があります。
そして、まだ疑問に思っている人のために、あなたのコンピュータの穴は、それが現れた瞬間に誰かによって検出されると言いたいです。
UPDイベントログをあまり頻繁に見ないのはなぜか、ポートが開かれた直後にSQL Serverへのアクセス試行が開始されました。 これらのイベントの1か月前に、存在しないログインのパスワードの選択が試行されました。 saログインが開かれた場合にのみ、これらの試みはある程度成功します。 プロバイダーの内部ネットワークからのすべてのIP-明らかに誰かがウイルスを持っているか、誰かが間違っているかのどちらか...