應對駭客攻擊SQL SERVER資料庫一例，駭客攻擊sql

應對駭客攻擊SQL SERVER資料庫一例，駭客攻擊sql

    近日發現掛在外網上的伺服器莫名其妙地重啟，該伺服器目前主要啟動了IIS服務，SQL SERVER 服務。遠程登入，發現系統反應很慢，有明顯的停滯感，開啟工作管理員，CPU使用率在基本30左右。開啟事件檢視器,在應用程式中發現大量的層級為資訊來源為MSSQL$PNCSMS,事件ID為18456，任務類別為登入的記錄，幾乎24小時不間斷，每秒鐘有15次個記錄，每個記錄的內容大體相同，如“使用者 'sa' 登入失敗。 原因: 找不到與所提供的名稱相匹配的登入名稱。 [用戶端: 60.191.144.214]”只不過其中的使用者名稱有時不同，用戶端IP地址也會過一段時間（幾分鐘至幾小時不等）變化一次。經查這個IP地址是屬湖南、河南等地。

      很顯然，有人企圖用遍曆密碼的方法入侵資料庫，重更名了資料庫的sa,將資料庫的IPALL的TCP連接埠，由預設的1433改為另外一個連接埠號碼（所有應用都得跟著改連接字串，痛苦）。重啟服務，跑了一天，再來看事件檢視器，再也找不到類似記錄，CPU使用率下降至5左右，系統反應明顯加快。問題得到圓滿解決。

       為了防止駭客遍曆系統登入帳戶，又將Administrator進行了更名，但更名後，SQL SERVER啟動不了了，在服務中找到SQL SERVER ，對其登入帳戶進行了重新設定，重啟電腦，SQL SERVER啟動成功了。