最近我的機器很奇怪，總是莫名其妙的多了幾個進程，并且卡巴瘋狂的報告病毒。經我多次實驗發現有幾個進程是固定的ftp.exe cmd.exe這二個進程卡巴不殺（因為它是系統程序，是被“別人”調用的，至于是什么呆會再說）這二個進程會不定時的從網上下載病毒并執行，這也是卡巴瘋狂報病毒并殺不盡的原因。查看網絡狀態發現1433端口訪問量非常大！大家都知道1433是MSSQL的默認端口，難道有人在連接我的數據庫？看來我的機器是被人監控了！這點可以從ftp.exe 進程訪問網絡的時間沒有規律看出來，有時很快就被打開調用，有時則很長時間才又會出現，應該是被別人手動的執行控制的連接一個遠程計算機端口；
? ? ? ? 看來這病毒是跟SQL有關了.MSSQL也如WINDOWS一樣東西好用人性化，但就是不安全。在具體清除這個病毒前我們先來了解一下MSSQL都能為入侵者帶來跟些便利。
? ? ? ? xp_cmdshell用過MSSQL的朋友都知道它是操作系統命令外殼，這個過程是一個擴展存儲過程，用于執行指定命令串，并作為文本行返回任何輸出。通過它執行的命令字符串實際上是調用了cmd.exe來委托執行，這就解釋了為什么總有二個進程是固定的（ftp.exe是被cmd.exe調用的用來與遠程計算機通信），cmd.exe在入侵者手里可是個好東西，什么添加用戶呀，刪除文件呀甚至修改注冊表都不在話下！可見它有多么可怕了吧。不過也不用害怕，也不是隨便一個人都可以調用xp_cmdshell這個存儲過程的，須要有一定的權限；在MSSQL中一共有8中權限分別是 sysadmin dbcreator diskadmin processadmin serveradmin setupadmin securityadmin bulkadmin 這8種 每一個都具有不同的權限，一般來說入侵者都是拿的sysadmin權限因為它最高。而SA用戶正好有這個權限，很多從為了方便就把SA用戶的密碼設為空或者和用戶名一樣（我就是）從而給入侵者帶來了可乖之機；下面來說說解救之法。

首先我們要刪除存儲過程（其實它的用處并不大，反而會帶來安全隱患）
use master
exec sp_dropextendedproc 'xp_cmdshell'
go

恢復cmdshell的SQL語是：
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'

這樣就萬無一失了，有些入侵者還會在你機器里留下后門，所以還要檢查一下WINDOWS用戶是否正常，因為通過net user命令可以添加一個用戶，用卡巴殺掉其它病毒，重啟，至此病毒就被清除了。

總結

以上是生活随笔為你收集整理的做好MSSQL保卫战之xp_cmdshell的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。