我有 Windows 2003 服务器,带有 15 个客户端桌面。所有 PC 包括服务器都安装了授权的 AV。另一个分支中有三台桌面通过端口转发(静态 ip)使用这台服务器的 SQL 数据库。服务器每天都会与网络断开连接,发生这种情况时,路由器和交换机的指示灯就会开始闪烁,甚至互联网也会中断。服务器关闭后,一切都会恢复正常。一些新服务会启动,会生成数百个 exe 文件,还会创建不需要的文件夹。我已将服务器格式化 N 次。安装了 norton/kaspersky/mcafee/quickheal 防病毒软件,但它们无法检测到攻击,服务器就会崩溃。每天非常耗时,需要几乎 3 到 4 个小时来启动服务器,但在一小时内它就受到攻击了。请帮忙。这些 exe 文件和服务是什么?为什么它只攻击服务器?它对路由器有什么影响?安装防火墙对 UTM 有帮助吗?
答案1
SQL 服务器是您转发的唯一端口吗?听起来好像有人破坏了您的 SQL 服务器实例。您应该锁定该端口。是的,安装防火墙会有所帮助。您应该确保服务器已安装所有安全补丁,并更改 SQL 服务器上的所有密码。
为了缩小范围,您应该检查 SQL 日志以查看是否有与攻击时间相对应的内容。
我还强烈建议重建服务器。进行此类活动后,即使您锁定了网络泄漏,您的服务器也很可能还会剩下一些东西。
答案2
您是只转发 SQL 端口,还是转发所有内容?如果您转发所有内容,那就是您的问题。