明 迦-WilliamChung

       这段时间服务器出了点问题，弄得很郁闷！进程里多了2个进程，一个ftp.exe,一个cmd.exe，手动清除不掉这2个进程，用了好几款杀毒软件如：卡巴斯基互联网安全套装7.0、瑞星2008、Mcafee8.5企业版等都无济于事！只有Mcafee查出在system32下发现两个病毒文件eq和tt，但清除掉后，过不了多久就又自动出现了！无发彻底清除，后来到安全模式下用冰刃强杀，彻底清查注册表，但是重启后病毒文件和进程将再次出现，而且出现时间还没有任何规律。  
        然后netstat －an查看网络状态,发现1433端口访问量非常大！1433是sqlserver的默认端口，难道有人在连接我的数据库(web服务用到收起来sql2000)，同时还发现ftp.exe进程一直试图在访问网络，连接一个远程计算机的端口，好家伙！这明显是个坏消息!看来我的机器是被人监控了！这点可以从ftp.exe进程访问网络的时间没有规律看出来，有时很快就被打开调用，有时则很长时间才又会出现，应该是被别人手动的执行控制的，想了想最近服务器所做过的改动，查阅了下资料，看来问题是出在sqlserver 上了，经排查，果然不出所料，问题出在SQL的存储过程xp_cmdshell上！
        据资料介绍，xp_cmdshell 是操作系统命令外壳 ，这个过程是一个扩展存储过程，用于执行指定命令串，并作为文本行返回任何输出。一般来说，xp_cmdshell很容易被黑客利用，带来不安全的隐患，而且xp_cmdshell对管理员来说也是不要,xp_cmdshell的消除不会对服务器造成任何影响。来吧，让我们清除它吧！ 
  

---

可以将xp_cmdshell消除： 
xp_cmdshell的删除和恢复 
 删除扩展存储过过程xp_cmdshell的语句:：
           Use Master
           exec sp_dropextendedproc 'xp_cmdshell'
           Go　
恢复cmdshell的SQL语句： 
           EXEC sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'

 

然后再运行以下命令就可以去掉用户sa的xp_cmdshell权限：  
if exists (select * from dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and OBJECTPROPERTY(id,N'IsExtendedProc'=1) exec sp_dropextendedproc N'[dbo].[xp_cmdshell]' 
GO

 

     摘要: if you kiss her, you are not a gentleman如果你亲她，那你就没有绅士风度
if you don't, you are not a man可是如果你不亲她，那你就不算男子汉！
if you praise her, she thinks you are lying如果你赞美她，她会认为你只是在奉承她
if you don't, you are good for nothing但要是你不赞美她，那你就一无是处了！
if you agree to all her likes, she is abusing如果你对她的话完全同意，那她就会说你气管炎、没主见！　　
if you don't, you are not understanding要是你不同意，那就表示你根本不了解
if you make romance, you are an 'experienced man'假如你把气氛控制的很浪漫，你就一定是情场老手  阅读全文

     摘要: 从第十位到第一位如下：
No.10 造水术&造食术 （法师）
没有了这两个技能 不知道法师会变成什么样 更无法预料wow会变成什么样 往往平凡的才是重要的。
No.9 破甲 （战士）
一个低调的技能 但是每个boss 身上最先出现的debuff往往就是它 请尊重保护我们的那块盾牌--战士
No.8 潜行 （盗贼）
一个职业的战术 无论如何变化 只围绕着一个中心技能 那么这个技能非潜行莫属， 也正是这个技能，给整个游戏带来更紧张刺激的气氛。
No.7 恢复&治疗之触 （牧师 小d）
并列第7 尽现治疗职业本色 默默地 无声的保护着每个队友的生命
No.6 变羊术 （法师）
太具有玻璃渣风味的技能了。其用法的多样性，实用性，幽默性，艺术性都属一流。变羊控制怪物数量，变羊绷带，变羊逃走， 变羊火球，水中放羊，变羊后放自爆绵羊玩小羊决斗，无限变羊调戏小号。。。。。  阅读全文

       这段时间服务器出了点问题，弄得很郁闷！进程里多了2个进程，一个ftp.exe,一个cmd.exe，手动清除不掉这2个进程，用了好几款杀毒软件如：卡巴斯基互联网安全套装7.0、瑞星2008、Mcafee8.5企业版等都无济于事！只有Mcafee查出在system32下发现两个病毒文件eq和tt，但清除掉后，过不了多久就又自动出现了！无发彻底清除，后来到安全模式下用冰刃强杀，彻底清查注册表，但是重启后病毒文件和进程将再次出现，而且出现时间还没有任何规律。  
        然后netstat －an查看网络状态,发现1433端口访问量非常大！1433是sqlserver的默认端口，难道有人在连接我的数据库(web服务用到收起来sql2000)，同时还发现ftp.exe进程一直试图在访问网络，连接一个远程计算机的端口，好家伙！这明显是个坏消息!看来我的机器是被人监控了！这点可以从ftp.exe进程访问网络的时间没有规律看出来，有时很快就被打开调用，有时则很长时间才又会出现，应该是被别人手动的执行控制的，想了想最近服务器所做过的改动，查阅了下资料，看来问题是出在sqlserver 上了，经排查，果然不出所料，问题出在SQL的存储过程xp_cmdshell上！
        据资料介绍，xp_cmdshell 是操作系统命令外壳 ，这个过程是一个扩展存储过程，用于执行指定命令串，并作为文本行返回任何输出。一般来说，xp_cmdshell很容易被黑客利用，带来不安全的隐患，而且xp_cmdshell对管理员来说也是不要,xp_cmdshell的消除不会对服务器造成任何影响。来吧，让我们清除它吧！ 
  

---

可以将xp_cmdshell消除： 
xp_cmdshell的删除和恢复 
 删除扩展存储过过程xp_cmdshell的语句:：
           Use Master
           exec sp_dropextendedproc 'xp_cmdshell'
           Go　
恢复cmdshell的SQL语句： 
           EXEC sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'

 

然后再运行以下命令就可以去掉用户sa的xp_cmdshell权限：  
if exists (select * from dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and OBJECTPROPERTY(id,N'IsExtendedProc'=1) exec sp_dropextendedproc N'[dbo].[xp_cmdshell]' 
GO