[MySQL]關于amd.dll後門病毒入侵3306端口的臨時解決方案

amd.dll入侵事宜： 

由于MySQL 5.1.30以上版本的一個漏洞（當然是不是因為漏洞的原因，目前暫未知），導緻一個後門程式會通過3306端口的MySQL服務擷取到Windows的管理權限，并在系統中産生amd.dll基本後門程式，并不斷釋放boot1.exe/boot2.exe/12345.exe/net.exe/net1.exe....等等垃圾程式，并在系統分區根目錄，Windows/system32目錄，Windows/system32/dllcache目錄，MySQL程式拓展目錄等地方産生殘留，導緻系統性能降低，系統權限表出現部分混亂。

此後門病毒将對安裝Microsoft Security Essentials的使用者産生不小的麻煩，MSE将有一定幾率認出amd.dll和boot*.exe為後門木馬或後門下載下傳病毒并進行删除處理，由于MSE機制，其對boot*.exe檔案需要20秒左右才能顯示清除完成，期間将占用絕大部分的CPU資源，但是被清除的檔案實際上并沒有被成功删除，而是仍然殘留在系統中，并且系統目錄下的病毒無法進行控制。

入侵環境： 

1. 安裝有MySQL 5.1.30以上的版本，包括最新的MySQL 5.5.x版本，目前還未修複

2. MySQL服務的端口設定在TCP 3306

3. 3306端口暴露在廣域網下，或者暴露在含有病毒的區域網路下，包括DMZ主機

4. MySQL的root賬号密碼屬于可暴力破解範圍之内

滿足以上4個條件的MySQL服務均可能感染此後門，然而大部分測試使用的MySQL伺服器都是滿足以上4個條件的。

阻止入侵的臨時解決方案： 

1. 轉移MySQL的服務端口，将TCP 3306封閉；

2. 将TCP 3306端口設定防火牆規則，不允許暴露在本機網絡之外，當然這将會導緻remote access權限的無效化；

3. 更改root賬戶密碼，使其密碼複雜度超出暴力破解範圍之外，比如不是任何一個英文單詞，或者存在混合字元。

清除計算機内部殘留的後門程式： 

1. 根據amd.dll釋放路徑，進入各釋放目錄進行手動删除，前提是一定要先阻止入侵。

2. 斷掉網絡或阻止入侵，使用後門專殺進行全盤掃描。

從目前分析來看，此後門非注入式後門程式，比較容易手動排除，但是這個後門确實讓人有種想要格式化的沖動。。。