最近倒霉啊,估计sql的sa密码太简单,被注入了代码,结果用友想建立一套帐也建不了了。建账的时候出现“神马都。。。 无法装载dll 原因126。。。”之类的,一看就知道被黑了。
网上找到一篇文章,看上去有用 http://blog.csdn.net/dxw122/article/details/6266104
下面是跟着他做,先检查xp_cmdshell是否被篡改:
use master
go
select * from syscomments where object_name(id)='xp_cmdshell' and text<>'xplog70.dll'
go
结果发现被修改了,修复如下:
drop procedure xp_cmdshell
go
exec sp_addextendedproc N'xp_cmdshell', N'xplog70.dll'
继续检查其他存储过程:
select object_name(id), * from syscomments where object_name(id) in
('xp_getfiledetails','xp_availablemedia','xp_dirtree','xp_fixeddrives','xp_subdirs',
'xp_fileexist','xp_get_tape_devices','sp_MSgetversion','xp_enumdsn','xp_regread',
'xp_regwrite','xp_regdeletevalue','xp_regaddmultistring','xp_regremovemultistring',
'xp_regenumkeys','xp_regenumvalues','xp_regdeletekey','xp_instance_regread',
'xp_instance_regwrite','xp_instance_regdeletevalue','xp_instance_regaddmultistring',
'xp_instance_regremovemultistring','xp_instance_regenumkeys','xp_instance_regenumvalues')
and text <>N'xpstar.dll'
go
发现有好几个存储过程被修改了,记下被修改的过程名
对发现的被修改的存储过程,执行下面语句
drop procedure 存储过程名称
go
exec sp_addextendedproc N'存储过程名称', N'xpstar.dll'
然后执行下面语句验证xp_cmdshell是否正确
xp_cmdshell 'dir c:'
如果该语句异常,还有可能sql server服务的启用账户(一般情况下是system)没有
访问system32/cmd.exe文件的权限,加上权限即可
发现不正常,用cacls看看好像有权限,但就是不正常。后来只好想了个其他办法,就是把启动sql的账户从本地系统账户改为administrator账户,结果正常了
理论上应该正常了,接下来用友建账,还是失败。。。
继续找原因,想起来建账出错时不是出现了“神马”两个字吗?
select object_name(id),* from syscomments where text like '神马%'
居然发现还有8个存储过程被修改,分别是:
sp_oacreate, sp_oamethod, sp_oastop, sp_oageterrorinfo, sp_oadestroy, sp_oagetproperty, sp_oasetproperty, xp_readerrorlog
其中前7个对应的text应为odsole70.dll,最后一个对应的text应为xpstar.dll
再用上面的方法修复这8个存储过程
用友建账,终于通过,总是没白忙,谢谢上面的老兄相助