為什么80%的碼農都做不了架構師？>>> ??

amd.dll入侵事宜：?
由于MySQL 5.1.30以上版本的一個漏洞（當然是不是因為漏洞的原因，目前暫未知），導致一個后門程序會通過3306端口的MySQL服務獲取到Windows的管理權限，并在系統中產生amd.dll基本后門程序，并不斷釋放boot1.exe/boot2.exe/12345.exe/net.exe/net1.exe....等等垃圾程序，并在系統分區根目錄，Windows/system32目錄，Windows/system32/dllcache目錄，MySQL程序拓展目錄等地方產生殘留，導致系統性能降低，系統權限表出現部分混亂。
此后門病毒將對安裝Microsoft Security Essentials的用戶產生不小的麻煩，MSE將有一定幾率認出amd.dll和boot*.exe為后門木馬或后門下載病毒并進行刪除處理，由于MSE機制，其對boot*.exe文件需要20秒左右才能顯示查殺完成，期間將占用絕大部分的CPU資源，但是被查殺的文件實際上并沒有被成功刪除，而是仍然殘留在系統中，并且系統目錄下的病毒無法進行控制。

入侵環境：?
1. 安裝有MySQL 5.1.30以上的版本，包括最新的MySQL 5.5.x版本，目前還未修復
2. MySQL服務的端口設定在TCP 3306
3. 3306端口暴露在廣域網下，或者暴露在含有病毒的局域網下，包括DMZ主機
4. MySQL的root賬號密碼屬于可暴力破解范圍之內
滿足以上4個條件的MySQL服務均可能感染此后門，然而大部分測試使用的MySQL服務器都是滿足以上4個條件的。

阻止入侵的臨時解決方案：?
1. 轉移MySQL的服務端口，將TCP 3306封閉；
2. 將TCP 3306端口設定防火墻規則，不允許暴露在本機網絡之外，當然這將會導致remote access權限的無效化；
3. 更改root賬戶密碼，使其密碼復雜度超出暴力破解范圍之外，比如不是任何一個英文單詞，或者存在混合字符。

?

清除計算機內部殘留的后門程序：?
1. 根據amd.dll釋放路徑，進入各釋放目錄進行手動刪除，前提是一定要先阻止入侵。
2. 斷掉網絡或阻止入侵，使用后門專殺進行全盤掃描。

從目前分析來看，此后門非注入式后門程序，比較容易手動排除，但是這個后門確實讓人有種想要格式化的沖動。。。

?

?

轉載于:https://my.oschina.net/adairs/blog/634630

總結

以上是生活随笔為你收集整理的[MySQL]关于amd.dll后门病毒入侵3306端口的临时解决方案的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。