22,209
社区成员
发帖
与我相关
我的任务
分享!!!公网上的SQL被攻击了!!咋办!!
查看日志每天都有人尝试用sa登陆,总是连续十几次每隔0.5的登陆.
每天大概有7,8百次,
后来检测用户数据,发现有客户数据被非法篡改.
--------------------------------------------------
丫的,到底黑客是怎么弄的.大家来分析分析.还有提供下如何防范啊!!
WINDOW 2000 ADVANCED + SP4 SERVER + SQL 2000 + SP3
随后我采用了以下方法:
1.SQL 2000 SP4
2.修改SQL默认端口
3.定期修改sa密码
4.删除Administrator 登陆
每天大概有7,8百次,
后来检测用户数据,发现有客户数据被非法篡改.
--------------------------------------------------
丫的,到底黑客是怎么弄的.大家来分析分析.还有提供下如何防范啊!!
WINDOW 2000 ADVANCED + SP4 SERVER + SQL 2000 + SP3
随后我采用了以下方法:
1.SQL 2000 SP4
2.修改SQL默认端口
3.定期修改sa密码
4.删除Administrator 登陆
...全文
请发表友善的回复…
发表回复
tigerjacky 2006-05-11
- 打赏
- 举报
我用的是伪三层.
tigerjacky 2006-05-09
- 打赏
- 举报
up!
zxbyhcsdn 2006-05-09
- 打赏
- 举报
一般都不建议把Sql放到公网上!!
要访问数据库用WebService就是了三!
或者用Delphi做基于Socket的分布式
要访问数据库用WebService就是了三!
或者用Delphi做基于Socket的分布式
rouqu 2006-04-30
- 打赏
- 举报
你这个日志是在哪里得到的?
微软一直推荐Windows集成登陆而非混合登陆(允许两者方式登陆)
微软一直推荐Windows集成登陆而非混合登陆(允许两者方式登陆)
tigerjacky 2006-04-30
- 打赏
- 举报
rouqu(石林#黄果树) ( ) 信誉:100 2006-4-29 14:44:41 得分: 0
看看是不是把SQL登陆方式改为Windows验证而非混合验证方式?这样安全性会好点
另外 防火墙上仅开放需要的端口
-------------------------------------------------------
不是说要SQL认证这样子的安全性比较高么?
2006-04-30 05:00:01.00 logon 用户 'NT AUTHORITY\SYSTEM' 登录失败。
2006-04-30 05:00:06.00 logon 用户 'NT AUTHORITY\SYSTEM' 登录失败。
2006-04-30 05:00:11.00 logon 用户 'NT AUTHORITY\SYSTEM' 登录失败。
2006-04-30 05:00:16.01 logon 用户 'NT AUTHORITY\SYSTEM' 登录失败。
2006-04-30 05:00:16.01 logon 用户 'NT AUTHORITY\SYSTEM' 登录失败。
2006-04-30 05:00:16.01 logon 用户 'NT AUTHORITY\SYSTEM' 登录失败。
这个是不是就是试图从Window登陆?这说明了什么问题?
看看是不是把SQL登陆方式改为Windows验证而非混合验证方式?这样安全性会好点
另外 防火墙上仅开放需要的端口
-------------------------------------------------------
不是说要SQL认证这样子的安全性比较高么?
2006-04-30 05:00:01.00 logon 用户 'NT AUTHORITY\SYSTEM' 登录失败。
2006-04-30 05:00:06.00 logon 用户 'NT AUTHORITY\SYSTEM' 登录失败。
2006-04-30 05:00:11.00 logon 用户 'NT AUTHORITY\SYSTEM' 登录失败。
2006-04-30 05:00:16.01 logon 用户 'NT AUTHORITY\SYSTEM' 登录失败。
2006-04-30 05:00:16.01 logon 用户 'NT AUTHORITY\SYSTEM' 登录失败。
2006-04-30 05:00:16.01 logon 用户 'NT AUTHORITY\SYSTEM' 登录失败。
这个是不是就是试图从Window登陆?这说明了什么问题?
luoqun_ncs 2006-04-30
- 打赏
- 举报
数据库改端口
tigerjacky 2006-04-30
- 打赏
- 举报
气人!今天发现web服务器被攻入.被植入ASP木马,攻击者创建了两个系统超级管理员帐号.我CSWFUSODJLFSKJ!!!
netcoder 2006-04-30
- 打赏
- 举报
参考:
SQL Server避孕大法
http://blog.csdn.net/netcoder/archive/2006/01/05/571520.aspx
SQL Server避孕大法
http://blog.csdn.net/netcoder/archive/2006/01/05/571520.aspx
netcoder 2006-04-30
- 打赏
- 举报
sa的密码设长一点,复杂点
edp08 2006-04-29
- 打赏
- 举报
他能进来改数据,居然没改你的密码或新建账户?
rouqu 2006-04-29
- 打赏
- 举报
所谓SQL注入(SQL Injection),就是利用程序员对用户输入数据的合法性检测不严或不检测的特点,故意从客户端提交特殊的代码,从而收集程序及服务器的信息,从而获取想得到的资料。
早先的SQL Snake Worm病毒也是批量扫描1433端口 续而探测没有密码的sa帐号 过程是更改sa密码 启动guest帐号 提升Windows权限 xp_cmdshell等复制信息 持续发包 等等
但是在尝试1433端口无效之后一般就选择放弃该攻击目标
感觉你SQL服务器上出现的情况更像SQL注入 http://www.webjx.com/htmldata/2005-02-23/1109166272.html 这篇文章就有提到
早先的SQL Snake Worm病毒也是批量扫描1433端口 续而探测没有密码的sa帐号 过程是更改sa密码 启动guest帐号 提升Windows权限 xp_cmdshell等复制信息 持续发包 等等
但是在尝试1433端口无效之后一般就选择放弃该攻击目标
感觉你SQL服务器上出现的情况更像SQL注入 http://www.webjx.com/htmldata/2005-02-23/1109166272.html 这篇文章就有提到
wariob 2006-04-29
- 打赏
- 举报
我的SQLSERVER两小时不做任何事,居然内存使用高达190M
WangZWang 2006-04-29
- 打赏
- 举报
大都根据端口来找突破口,请LZ把sqlserver的1433端口改为其它端口来运行,并把
扩展存储过程xp_cmdshell用sp_dropextendedproc删除了.重新修改操作系统和sqlserver
的密码更复杂一些等等。
扩展存储过程xp_cmdshell用sp_dropextendedproc删除了.重新修改操作系统和sqlserver
的密码更复杂一些等等。
xeqtr1982 2006-04-29
- 打赏
- 举报
SQL安全方面,了解不多。关注学习
itblog 2006-04-29
- 打赏
- 举报
sql注入
rouqu 2006-04-29
- 打赏
- 举报
看看是不是把SQL登陆方式改为Windows验证而非混合验证方式?这样安全性会好点
另外 防火墙上仅开放需要的端口
另外 防火墙上仅开放需要的端口
sxdoujg 2006-04-29
- 打赏
- 举报
up
tigerjacky 2006-04-29
- 打赏
- 举报
我也很奇怪啊.有没有办法可以跟踪到攻击的IP.由于我的web服务器和数据库服务器是在两地.而攻击可能是直接向数据库服务器操作的.那从SQL 或 win2000 上我能跟踪到IP么?
还有就是我判断 攻击SQL的可能有好几波人.
丫的.
大家多给我一些意见吧.
------------------------------------
Web过滤看来要等过段时间 web 页面全面改版了.
目前还有什么好的方法啊
还有就是我判断 攻击SQL的可能有好几波人.
丫的.
大家多给我一些意见吧.
------------------------------------
Web过滤看来要等过段时间 web 页面全面改版了.
目前还有什么好的方法啊
