标题：SQLServer2000被入侵后的补救措施
出处：gOxiA=苏繁=SuFan Blog
时间：Wed, 08 Mar 2006 10:49:15 +0000
作者：gOxiA
地址：https://goxia.maytide.net/read.php/664.htm

内容：
      昨天收到通告，发现服务器被入侵。经过初步检查是因为应用出现了注入漏洞，当时检查没发现系统上有入侵痕迹，做了简单的修复就回家，想想感觉不对！既然对方声称已经拿到“系统最高权限”（PS:系统最高权限是SYSTEM，对方拿到的只是指定的管理员权限，看来对方根基不牢固啊。），回想看过的资料记得提过使用系统服务来隐藏后门，对啊！怎么没有想到呢？今早一来便上服务器开始检查，首先检查进程没有发现异常，检查远程登录的Log发现确实有不明Ip登录，GOD！
      使用最简单也是最有效的查看办法，因为之前我专门指定了一个用户来运行SQL，但是因为涉及到数据库的一些目录权限问题，所以我将这个用户分配到了Administrators组，便留下了后患！我检查了用户配置文件发现其帐户目录中存在黑客工具，看来是登录进来了！奇怪，之前设置的这个帐户是无权本地和远程登录的啊，这个问题我也一直没有找到原因。
      于是禁止用户远程访问权限，并且将RDP权限中加入了这个用户为拒绝！既然人家已经进来了，也只能将计就计，将账户目录的安全性配置为管理员组和ONWER拒绝，这样一来即使因SQL漏洞对方在进入也只是一个空的界面很难做其它动作，当然还是有突破的办法！不过，起码可以抵挡一段时间！可以让我们及时发现入侵者。
      最后还是要从SQL下手才能解决问题，可是因为环境要求，做端口限制或者IPSec是不可能的，不过我决定还是把UDP1434给封上。最后从xp_cmdshell下手，关闭它来解决基本的问题！
sp_dropextendedproc 'xp_cmdshell'sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'（这条命令是用来恢复的）

      监视一段时间好了！唉……



Generated by Bo-blog 2.1.1 Release