可能重复:
我的服务器被黑了 紧急求助
我有一台受感染的机器,它每分钟尝试数百次连接以登录世界各地的其他 mssql 机器。事件查看器显示数百个事件 ID 18456 错误。这可能是网络服务进程在做这件事,错误如下:
Login failed for user 'sa'. Reason: Password did not match that for the login provided. [CLIENT: XXX.XXX.XXX.XXX]
我的机器正在尝试登录其他机器。我之前发现一个 system.exe,上面写着“正在运行多线程 SQLck v1.0.00 Beta9_1 - 仅以套接字命令编写”。它使用一个包含密码的 .dic 文件来暴力破解其他机器的 SA 密码。我已从系统中删除该文件,但我相信还有另一个副本正在使用中。
我无法确定 MSSQL 中的哪个进程正在触发该进程,以及如何停止它。
我如何才能阻止 mssql 未经我的同意就尝试登录? 可能需要登录某些服务器(已知主机),但不需要这些中国/巴西服务器。
编辑:总结:我的机器被用来暴力破解其他服务器。我该如何阻止它?
答案1
不一定是 SQL Server 生成登录尝试。任何具有 SQL Server ODBC 驱动程序或客户端连接组件的计算机都可以连接到 SQL Server。我会在服务器上运行 Microsoft 网络监视器,启动捕获,查找登录尝试,并在捕获中查看负责这些尝试的进程(Microsoft 网络监视器列出了所有连接所涉及的进程)。