暗渡陈仓？遭遇借SQLServer数据库的木马（P.exe ftp.exe偷偷运行）攻击！

8592e9cxdm

　　很不幸，这两天发现电脑上会出现大量p.exe ftp.exe 内存占用量很大，还修改了操作系统启动项（卡巴发出警报），启动时电脑会自动执行FTP去下载一系列EXE文件，确认遭遇，但用杀软查杀病毒（360安全卫士 金山安全卫士、 卡巴斯基），又没发现什么病毒。
　　
　　后来百度，有人提示说可能是SQL Server有漏洞，Sqlserver存储过程上xp_cmdshell，网上资料解释说：  
　　xp_cmdshell 操作系统命令外壳 。这个过程是一个扩展存储过程，用于执行指定命令串，并作为文本行返回任何输出。 
　　
　　联想到发现问题的当天，为了测试程序开启了本机SQL数据库的TCP连接，且SA密码极为简单。再查看SQL Server日志(见附件），果然，日志中有一IP地址大量登录失败的记录，证实是遭遇了SA密码暴力破解！
　　
　　看来，攻击是这样的：扫描发现SQLServer端口->暴力破解SA密码->通过SA执行操作系统命令->FTP下载木马程序。