求助sql server 数据库被人入侵。

jianzhang7788 2018-03-11 07:51:59

我数据库服务器限制了数据库访问端口特定的ip才可以访问，sa账户我也禁用了，一直有人在我服务器修改数据，远程端口我也限制了IP登陆，防火墙打开了，请问有什么可能会入侵我数据库，sql server 访问账号我也是新修改的，发现还是有修改，请问还有什么可能性么？

...全文

841 9 打赏收藏转发到动态举报

写回复

用AI写文章

9 条回复

切换为时间正序

请发表友善的回复…

发表回复

jianzhang7788 2018-03-19

打赏
举报

引用 5 楼 z10843087 的回复:

[quote=引用 3 楼 jianzhang7788的回复:][quote=引用 2 楼 yenange 的回复:] 先添加 SQL Server 的审计吧：https://www.cnblogs.com/Joe-T/p/4312878.html 注：必须是 SQL Server2008 或以上版本。另外: 1. 程序中必须采用参数化，防止SQL注入; 2. 将DB服务器与应用(\Web之类)服务器分开， DB服务器放在内网中，不开放外网; 3. 服务器杀毒; 4. 禁用 xp_cmdshell 等危险性高的系统存储过程. http://blog.csdn.net/wiser/article/details/23434607 如果上面的全部都能做到，发生入侵的可能是微乎其微的，即使有，基本上也能找元凶。

1:代码里面现在都是参数化了， 2：之前考虑过这个，后期会这么做， 3：扫毒了，但是没有发现病毒。 4：我刚刚禁用了，我主要想弄清楚到底是什么原因，因为我弄了触发器，一旦删除数据，就触发，但是我发现这个没有用，所以弄不清楚到底是怎么回事，而且我使用工具查看删除日志，竟然没有这笔数据的删除日志，这个是什么原因呢？[/quote] 这个问题比较有意思，先确认是不真的被人入侵了。如果真的有人入侵一般会留下线索，勒索钱财什么的，就单纯删除数据，也没那么无聊的人吧[/quote] 确定是被入侵了，因为修改了数据库的一些数据，因为这个设计到钱的问题，确定一定是被入侵了，

zjcxc 2018-03-15

打赏
举报

最后说一下日志的问题，不知道你看的是那个日志，如果是数据库的日志（也就是记录在 ldf 中的），这个也得分情况，如果你的数据库恢复模型是 simple，那么日志是用完后可重用的，也就意味着你很难从这个里面拿到有用信息如果不是 simple 的，那么日志是可截断的，截断前的日志也是看到不到的

zjcxc 2018-03-15

打赏
举报

确认已经有帐号权限，特别是 syadmin, db_owner, control 类权限，如果你给出的几点叫有这类权限，最好先回收权限，这类权限正常的业务操作是用不到的然后你可以用触发器和 SQL Server 审核两种方式来监控，只要有权限，这两种方式都可以被临时禁用，所以你要先确保回收权限 SQL Server 审核主要用到两个语句，具体你可以看下官网联机帮助文档 CREATE SERVER AUDIT SPECIFICATION CREATE DATABASE AUDIT SPECIFICATION

OwenZeng_DBA 2018-03-14

打赏
举报

引用 3 楼 jianzhang7788的回复:

[quote=引用 2 楼 yenange 的回复:] 先添加 SQL Server 的审计吧：https://www.cnblogs.com/Joe-T/p/4312878.html 注：必须是 SQL Server2008 或以上版本。另外: 1. 程序中必须采用参数化，防止SQL注入; 2. 将DB服务器与应用(\Web之类)服务器分开， DB服务器放在内网中，不开放外网; 3. 服务器杀毒; 4. 禁用 xp_cmdshell 等危险性高的系统存储过程. http://blog.csdn.net/wiser/article/details/23434607 如果上面的全部都能做到，发生入侵的可能是微乎其微的，即使有，基本上也能找元凶。

OwenZeng_DBA 2018-03-14

打赏
举报

补充下，如果用truncate table应该是查询不到日志

吉普赛的歌 2018-03-11

打赏
举报

引用 3 楼 jianzhang7788 的回复:

[quote=引用 2 楼 yenange 的回复:] 先添加 SQL Server 的审计吧：https://www.cnblogs.com/Joe-T/p/4312878.html 注：必须是 SQL Server2008 或以上版本。另外: 1. 程序中必须采用参数化，防止SQL注入; 2. 将DB服务器与应用(\Web之类)服务器分开， DB服务器放在内网中，不开放外网; 3. 服务器杀毒; 4. 禁用 xp_cmdshell 等危险性高的系统存储过程. http://blog.csdn.net/wiser/article/details/23434607 如果上面的全部都能做到，发生入侵的可能是微乎其微的，即使有，基本上也能找元凶。

jianzhang7788 2018-03-11

打赏
举报

引用 2 楼 yenange 的回复:

先添加 SQL Server 的审计吧：https://www.cnblogs.com/Joe-T/p/4312878.html 注：必须是 SQL Server2008 或以上版本。另外: 1. 程序中必须采用参数化，防止SQL注入; 2. 将DB服务器与应用(\Web之类)服务器分开， DB服务器放在内网中，不开放外网; 3. 服务器杀毒; 4. 禁用 xp_cmdshell 等危险性高的系统存储过程. http://blog.csdn.net/wiser/article/details/23434607 如果上面的全部都能做到，发生入侵的可能是微乎其微的，即使有，基本上也能找元凶。

吉普赛的歌 2018-03-11

打赏
举报

先添加 SQL Server 的审计吧：https://www.cnblogs.com/Joe-T/p/4312878.html 注：必须是 SQL Server2008 或以上版本。另外: 1. 程序中必须采用参数化，防止SQL注入; 2. 将DB服务器与应用(\Web之类)服务器分开， DB服务器放在内网中，不开放外网; 3. 服务器杀毒; 4. 禁用 xp_cmdshell 等危险性高的系统存储过程. http://blog.csdn.net/wiser/article/details/23434607 如果上面的全部都能做到，发生入侵的可能是微乎其微的，即使有，基本上也能找元凶。

jianzhang7788 2018-03-11