应对黑客攻击SQL SERVER数据库中的一个案例
最近发现挂在网上server不知怎的,重新启动,那server现在主要是开始IIS服务,SQL SERVER 服务。
远程登录。发现系统响应十分缓慢。一个明显的停滞感,打开任务管理器,CPU在基本用法30%大约。打开事件查看器,大量的级别为信息来源为MSSQL$PNCSMS,事件ID为18456。任务类别为登录的记录。差点儿24小时不间断,每秒钟有15次个记录,每一个记录的内容大体同样,如“用户 'sa' 登录失败。
原因: 找不到与所提供的名称相匹配的登录名。 [client: 60.191.144.214]”仅仅只是当中的username有时不同。clientIP地址也会过一段时间(几分钟至几小时不等)变化一次。经查这个IP地址是属湖南、河南等地。
非常显然,有人企图用遍历password的方法入侵数据库。于是重更名了数据库的sa,将数据库的IP ALL的TCPport,由默认的1433改为另外一个port号(全部应用程序都得跟着改连接字符串,痛苦!
)。重新启动服务,跑了一天,再来看事件查看器,再也找不到类似记录,CPU使用率下降至5左右,系统反应明显加快。问题得到圆满解决。
为了防止黑客遍历系统登录帐户。又将Administrator进行了更名,但更名后,SQL SERVER启动不了了。在服务中找到SQL SERVER ,用新的系统登录帐户对其登录帐户进行了又一次设置。重新启动计算机,SQL SERVER启动成功了。
版权声明:本文博客原创文章。博客,未经同意,不得转载。