MSSQL的高危存储过程及其依存DLL的安全处理

先来列出危险的内置存储过程：

xp_cmdshell
xp_regaddmultistring
xp_regdeletekey
xp_regdeletevalue
xp_regenumkeys
xp_regenumvalues
xp_regread
xp_regremovemultistring
xp_regwrite

ActiveX自动脚本： sp_OACreate
sp_OADestroy
sp_OAMethod
sp_OAGetProperty
sp_OASetProperty
sp_OAGetErrorInfo
sp_OAStop

以上各项全在我们封杀之列，例如xp_cmdshell屏蔽的方法为：

sp_dropextendedproc 'xp_cmdshell'
，如果需要的话，再用

sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
进行恢复。如果你不知道xp_cmdshell使用的是哪个.dll文件的话，可以使用

sp_helpextendedproc xp_cmdshell
来查看xp_cmdshell使用的是哪个动态联接库。另外，将xp_cmdshell屏蔽后，我们还需要做的步骤是将xpsql70.dll文件进行改名，以防止获得SA的攻击者将它进行恢复。

 

删除MSSQL危险存储过程的代码
drop PROCEDURE sp_makewebtask
exec master..sp_dropextendedproc xp_cmdshell
exec master..sp_dropextendedproc xp_dirtree
exec master..sp_dropextendedproc xp_fileexist
exec master..sp_dropextendedproc xp_terminate_process
exec master..sp_dropextendedproc sp_oamethod
exec master..sp_dropextendedproc sp_oacreate
exec master..sp_dropextendedproc xp_regaddmultistring
exec master..sp_dropextendedproc xp_regdeletekey
exec master..sp_dropextendedproc xp_regdeletevalue
exec master..sp_dropextendedproc xp_regenumkeys
exec master..sp_dropextendedproc xp_regenumvalues
exec master..sp_dropextendedproc sp_add_job
exec master..sp_dropextendedproc sp_addtask
exec master..sp_dropextendedproc xp_regread
exec master..sp_dropextendedproc xp_regwrite
exec master..sp_dropextendedproc xp_readwebtask
exec master..sp_dropextendedproc xp_makewebtask
exec master..sp_dropextendedproc xp_regremovemultistring

将以上代码复制到查询分析器里执行就可以了。

本文出自 “Wyulnnhtg's Blog” 博客，转载请与作者联系！