我的服务器被 Mirai Botnet 攻击了,我们清理了系统,完全禁用了服务器代理,系统稳定且干净,但是......
如果我将该 SQL 服务器 PC 重新打开到互联网(端口 1433),它会再次被感染。
我尝试了所有的登录名并发现如果我离开“BUILTIN\Administrators”登录名,这就会导致僵尸网络重新感染它。
感染我的客户端名为“Microl Office”,它源自各种据称被黑客入侵的 PC,奇怪的是,它的身份验证为“NT AUTHORITY\ANONYMOUS LOGON”...
我删除了模型和 msdb,并重新复制了模板中的内容以清理服务器,如果我保留内置管理员,仍然会发生同样的事情。所以我猜僵尸网络将匿名登录添加到了管理员组?
我重新安装了另一个实例和不同的版本,但仍然发生同样的事情,所以我认为这不是 SQL 问题。
用户“NT AUTHORITY\ANONYMOUS LOGON”登录成功。使用 Windows 身份验证建立连接。[客户端:138.0.224.232]
此外,如果我改用 BUILTIN\Users,它就不会登录,并且会失败并显示错误“基于令牌的服务器访问验证因基础设施错误而失败”所以我认为一旦服务器被严重感染,恶意软件就会以某种方式将匿名登录添加到内置管理员组
有人能告诉我如何查看添加到管理员组的所有用户吗?(是的,从计算机管理访问时,该组只有我的用户作为管理员用户)
有人可以就此事提出任何建议吗?(Windows Server 2003 R2 和 SQL SERVER Enterpise 2005 + 2008 sp1)
我尝试过的选项:
- 将 LSA blockanonymous 设置为 1
- 将 allowanoynomous 设置为 1
- 禁用 SID 转换
- 从计算机管理中检查管理员组
是的,我知道这是一台旧服务器,自 2009 年以来它一直为特定的 ASP.NET 网站开发,我们尝试过迁移但效果不佳,所以我们必须使用它。我们仅公开 RDP 和 SQL (1433)