瑞星卡卡安全论坛

首页 » 技术交流区 » 入侵防御(HIPS) » SQLSERVER SA密码经常被篡改
爱之天使 - 2016-12-5 10:10:00
环境:WIN2008R2、SQL2008、瑞星防火墙、公网

问题:SA密码经常被修改。


尝试过:
1)通过防火墙IP规则禁止入侵IP访问(TCP/UDP,全部端口),入侵IP是查阅WIN日志得到。
2)定期修改WIN登录密码。
3)关闭WIN下G用户、无用共享文件夹。
4)多品牌安全软件都尝试过查杀病毒、木马,均提示没有。


SA被改问题依旧!


疑惑:
      已通过防火墙禁止制定IP访问,为啥WIN日志中还能查到登录成功记录。


请各位给予指点,谢谢!

追加补充:
防火墙已经静止TCP/IP,可是系统提示还是被成功入侵,难道我的系统登录密码太简单了?

用户系统信息:Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36
314698711@qq.com - 2016-12-5 10:27:00
您的瑞星防火墙是什么版本?
koako - 2016-12-5 16:03:00
首先保证操作系统是安全的
如果操作系统被登录了,sa密码改成什么都不管用啊
爱之天使 - 2016-12-6 9:18:00
V16 今天更新到 24.00.48.70 了
爱之天使 - 2016-12-6 9:18:00
系统密码我也定期修改
天月来了 - 2016-12-6 19:10:00
建议这样试,找台电脑,安装全新的原装的微软的WIN2008R2、SQL2008

换上去观察看是否还被入侵

如果还被入侵,就是WIN2008R2、SQL2008的原生漏洞被利用,就没好办法了

如果不再被入侵了,那么就考虑你原服务器有黑客留的后门程序在运行。

这样建议是因为楼主你得确定你服务器内没有任何后门程序病毒程序运行着呀,这有点难哟

一切非微软的,或显示微软,但是数字签名验证没通过的文件程序都得核查。

不要迷信杀毒软件,那玩意有个鬼用

还有日志能看出是走什么端口进来做事的么?主网络设备或防火墙那禁掉那端口试试。
爱之天使 - 2016-12-7 13:28:00
从日志上看不到是利用那个端口进来的。

我会尝试你提到的方法,去验证一下。

非常感谢!
1
查看完整版本: SQLSERVER SA密码经常被篡改