关于amd.dll后门病毒入侵3306端口的临时解决方案
amd.dll入侵事宜:
由于MySQL 5.1.30以上版本的一个漏洞(当然是不是因为漏洞的原因,目前暂未知),导致一个后门程序会通过3306端口的MySQL服务获取到Windows的管理权限,并在系统中产生amd.dll基本后门程序,并不断释放boot1.exe/boot2.exe/12345.exe/net.exe/net1.exe....等等垃圾程序,并在系统分区根目录,Windows/system32目录,Windows/system32/dllcache目录,MySQL程序拓展目录等地方产生残留,导致系统性能降低,系统权限表出现部分混乱。
此后门病毒将对安装Microsoft Security Essentials的用户产生不小的麻烦,MSE将有一定几率认出amd.dll和boot*.exe为后门木马或后门下载病毒并进行删除处理,由于MSE机制,其对boot*.exe文件需要20秒左右才能显示查杀完成,期间将占用绝大部分的CPU资源,但是被查杀的文件实际上并没有被成功删除,而是仍然残留在系统中,并且系统目录下的病毒无法进行控制。
入侵环境:
1. 安装有MySQL 5.1.30以上的版本,包括最新的MySQL 5.5.x版本,目前还未修复
2. MySQL服务的端口设定在TCP 3306
3. 3306端口暴露在广域网下,或者暴露在含有病毒的局域网下,包括DMZ主机
4. MySQL的root账号密码属于可暴力破解范围之内
满足以上4个条件的MySQL服务均可能感染此后门,然而大部分测试使用的MySQL服务器都是满足以上4个条件的。
阻止入侵的临时解决方案:
1. 转移MySQL的服务端口,将TCP 3306封闭;
2. 将TCP 3306端口设定防火墙规则,不允许暴露在本机网络之外,当然这将会导致remote access权限的无效化;
3. 更改root账户密码,使其密码复杂度超出暴力破解范围之外,比如不是任何一个英文单词,或者存在混合字符。
清除计算机内部残留的后门程序:
1. 根据amd.dll释放路径,进入各释放目录进行手动删除,前提是一定要先阻止入侵。
2. 断掉网络或阻止入侵,使用后门专杀进行全盘扫描。
从目前分析来看,此后门非注入式后门程序,比较容易手动排除,但是这个后门确实让人有种想要格式化的冲动。。。
关于amd.dll后门病毒入侵3306端口的临时解决方案相关推荐
- [MySQL]关于amd.dll后门病毒入侵3306端口的临时解决方案
为什么80%的码农都做不了架构师?>>> amd.dll入侵事宜: 由于MySQL 5.1.30以上版本的一个漏洞(当然是不是因为漏洞的原因,目前暂未知),导致一个后门程序会 ...
- mysql amd.dll 后门_DLL后门清除完全篇
作者:dahubaobao [Nuke Group] 主页:http://www.ringz.org 团体站点:http://www.digitalnuke.com/main/ 邮件:dahushib ...
- [MySQL]经常无故崩溃amd.dll , boot1.exe病毒
近段时间有大量客户反馈,mysql经常无故崩溃 或者是在C盘根目录出现 amd.dll , boot1.exe文件 此病毒为mysql数据库的漏洞所导致,目前所有版本均有此问题 目前已经有大量的客户出 ...
- 管理员请注意 一条后门病毒攻击链正在针对服务器发起入侵
我们通过排查相关威胁信息发现,上述后门病毒从去年8月份开始,影响范围明显扩大,不排除后续黑客还会尝试其它渗透方式达到入侵的目的. 火绒查杀图 火绒拦截图 工程师溯源发现,黑客通过弱口令等方式入侵服务器 ...
- 3306端口的入侵【转】
这一节说一下3306端口,通过Mysql入侵服务器. 坦白的讲,我对mysql知道的太少,只是知它于mssql相对应的1433端口,它是3306.在w2k上它主要和是php组合,我一直学习的是asp+ ...
- Windows Dll Injection、Process Injection、API Hook、DLL后门/恶意程序入侵技术
catalogue 1. 引言 2. 使用注册表注入DLL 3. 使用Windows挂钩来注入DLL 4. 使用远程线程来注入DLL 5. 使用木马DLL来注入DLL 6. 把DLL作为调试器来注入 ...
- 端口入侵mysql_看紧你的3306端口,一次通过mysql的入侵数据库教程 -电脑资料
mysql 用superscan扫了一下 某个c类的网段,寻找开放80端口的机器,结果就只有一台机器 开放了80端口,试着连了一下,是我们学校某个社团的的主页, 从端口的banner来看应该是apac ...
- ARP病毒入侵原理和解决方案
近些天,ARP病毒入侵网络,使大多网吧及家庭都陷入苦难!!中招现象:掉线~~~~~~` 在这里我在网上到的相关资料,网络高手的研究一下~~ 解决ARP攻击的方法 [故障原因] 局域网内有人使用ARP欺 ...
- Linux被kdevtmpfsi,pnscan挖矿病毒入侵记录
Linux被kdevtmpfsi,pnscan挖矿病毒入侵 记录起因 从腾讯云刚拿了一台新服务器,第一天装好docker环境后,第二天上午就收到了来自腾讯云的短信警告.登陆平台后发现站内信 好在腾讯没 ...
最新文章
- pandas移除dataframe字符串数据列中的前N个字符(remove the first n characters from values from column of dataframe)
- 文凭-决定的人生成败?下
- IE 9 Preview尝鲜
- python 只取数值_Python:你会生成列表吗?-- 列表生成式
- 【面试招聘】如何写出发光的简历|附10个模版
- 金山云html文件,金山云安全开放平台
- Redis设计与实现笔记
- Apache Camel 3.2 – Camel的无反射配置
- IDEA通过Database连接MySql数据库
- 关于学历与面试的一些看法
- c语言求圆锥的表面积和体积_C语言-圆形体体积计算器,1:计算球体;2:计算圆柱体;3:计算圆锥体...
- 算法学习之投票算法以及对应leetcode题目
- 安卓开机自启动app
- 如何在Mac系统上查看端口占用和释放端口的情况?
- python 相关性分析原理及代码详细介绍
- 安卓android+rom定制,移植,安卓Android ROM定制移植教程。.doc
- 给div加滚动条 div显示滚动条设置代码
- 回归本心QwQ背包问题luogu1776
- 状态机工作流,顺序工作流和Flowchart
- java runtime异常如何解决_成都汇智动力-Java中常见的RunTime异常及异常详解