专栏首页dotnet & java记一次公司mssql server密码频繁被改的事件

记一次公司mssql server密码频繁被改的事件

环境描述

近期公司服务器mssql密码频繁被改,导致各种业务系统无法连接,报错。昨天来公司,发现4台数据库3台密码都变了。今天尝试着去查查是否能找到问题根源。

步骤

  1. 4台服务器3台连不上,只有64还活着
  1. 开启SqlServer Profiler工具监控sql执行日志,着重关注Audit Login Change Password事件。可以看到Microl(不是Micro) office程序 执行了修改密码的指令。
  1. 接着往上找,发现其第一步是执行了@a这个存储过程,总共4个。
  1. 通过工具解析其内容。
  1. 通过sql执行exe,然后再用将自己进程kill的方式退出,基本可以判定这个应用不正常。
  1. 走到这步可以得出结论,服务器中毒了。本来想搜一下psa.exe,但是一般病毒名字都会用随机字符处理,感觉搜了也没用,就没有搜。
  2. 既然中毒了就装一个杀毒软件杀杀毒试试。
  3. 首先是查到2个病毒,杀了。(忘记截图了)以为就好了。
  4. 然后在12点42看到一个关于SQLAGENT阻止进程创建的日志,意识到事情还没结束。
  1. SQLAGENT是什么?看这里。简单来说就是一个任务调度器。运行存储在sql server中的任务的工具。这些任务包括数据备份等。
  2. 然后就有个疑问,他要运行什么任务?查一下。 select * from msdb.dbo.sysjobs;
  1. 这些job的创建时间是早上10点21分45秒。第一步里面,密码的变更时间也是10点21分45秒,绝对有关系。再看一下之前profiler中抓到的sql日志。
  1. 这些任务都出来了。
  2. 没招了,上网搜索pdoor.exe碰碰运气。运气不错,一下就出来了。链接
  1. 更专业详细的内容可以看文章介绍。病毒的查杀方案在上面文章中也有。
  2. 感慨一下,如果他不来改我们数据库的密码,貌似我们也发现不了。换个角度,为什么他要来改?因为他不晓得我们的密码。为什么不晓得我们密码也能在我们的sql中执行脚本?因为我们的数据库是弱密码。为什么不给改回去,这样我们就发现不了了?【这是一个问题。】

结论

不要弱密码,不要弱密码,不要弱密码

专杀链接

下载,全盘扫描。

  • 64位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

  • 32位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 服务器配置java

    _淡定_
  • WCF入门 (14)

    做了一份面试题,最后一题是数据库的,写个查询。要查出Score有两次及两次以上超过79的Name和他的最高得分,同时显示超过79分的次数。

    _淡定_
  • Nginx-4.Nginx如何处理请求

    Nginx首先需要确定使用哪个server来处理请求。举个简单的例子,有下面几个server

    _淡定_
  • TCP/IP速记

    OSI是一种设计得非常详细的协议,而问题就是出在详细上;因为实际的情况往往比想象中的更加多变和灵活,所以OSI的详细本该成为它的优势,但却成为了其限制。

    Noneplus
  • struts2(一)---编写第一个struts2项目

    转载请注明:http://blog.csdn.net/uniquewonderq

    MickyInvQ
  • SpringBoot 拦截器

    web拦截器作用有权限控制,日志记录等等。SpringBoot 提供 HandlerInterceptor 方便我们开发;

    IT技术小咖
  • 一文解决韦恩图(零代码版本、R语言、python版本)

    http://bioinformatics.psb.ugent.be/webtools/Venn/

    用户1359560
  • Struts2 HelloWorld_1

    解压后,在apps文件夹下面有5个*.war文件,解压struts2-blank.war文件

    Hongten
  • 【Ceph】Rook 中使用 External Cluster 的方式管理外部集群

    现网有好几个 Luminous 的集群,因为指导 Rook 可以用来管理外部集群,所以想尝试一下。外部集群的概念是指,通过部署 Rook,来管理部署在其他集群或...

    runzhliu
  • Stimulus:让web应用在移动端达到原生体验

    【IT168 资讯】很多开发者一年来通过Basecamp写了很多JavaScript,但是并没有用它来创建现代意义上的“JavaScript应用程序”。所有的应...

    企鹅号小编

扫码关注云+社区

领取腾讯云代金券