應對駭客攻擊SQL SERVER資料庫中的一個案例

標籤：

    最近發現掛在網上server不知怎的，重新啟動，那server現在主要是開始IIS服務，SQL SERVER 服務。

遠程登入。發現系統響應十分緩慢。一個明顯的停滯感，開啟工作管理員，CPU在基本用法30%大約。開啟事件檢視器,大量的層級為資訊來源為MSSQL$PNCSMS,事件ID為18456。任務類別為登入的記錄。差點兒24小時不間斷，每秒鐘有15次個記錄，每一個記錄的內容大體同樣，如“使用者 ‘sa‘ 登入失敗。

原因: 找不到與所提供的名稱相匹配的登入名稱。 [client: 60.191.144.214]”僅僅只是當中的username有時不同。clientIP地址也會過一段時間（幾分鐘至幾小時不等）變化一次。經查這個IP地址是屬湖南、河南等地。

      非常顯然，有人企圖用遍曆password的方法入侵資料庫。於是重更名了資料庫的sa,將資料庫的IP ALL的TCPport，由預設的1433改為另外一個port號（全部應用程式都得跟著改連接字串，痛苦！

）。重新啟動服務，跑了一天，再來看事件檢視器，再也找不到類似記錄，CPU使用率下降至5左右，系統反應明顯加快。問題得到圓滿解決。

       為了防止駭客遍曆系統登入帳戶。又將Administrator進行了更名，但更名後，SQL SERVER啟動不了了。在服務中找到SQL SERVER ，用新的系統登入帳戶對其登入帳戶進行了又一次設定。重新啟動電腦，SQL SERVER啟動成功了。

著作權聲明：本文部落格原創文章。部落格，未經同意，不得轉載。

應對駭客攻擊SQL SERVER資料庫中的一個案例