SQLServer2000被入侵后的补救措施
昨天收到通告,发现服务器被入侵。经过初步检查是因为应用出现了注入漏洞,当时检查没发现系统上有入侵痕迹,做了简单的修复就回家,想想感觉不对!既然对方声称已经拿到“系统最高权限”(PS:系统最高权限是SYSTEM,对方拿到的只是指定的管理员权限,看来对方根基不牢固啊。),回想看过的资料记得提过使用系统服务来隐藏后门,对啊!怎么没有想到呢?今早一来便上服务器开始检查,首先检查进程没有发现异常,检查远程登录的Log发现确实有不明Ip登录,GOD!
使用最简单也是最有效的查看办法,因为之前我专门指定了一个用户来运行SQL,但是因为涉及到数据库的一些目录权限问题,所以我将这个用户分配到了Administrators组,便留下了后患!我检查了用户配置文件发现其帐户目录中存在黑客工具,看来是登录进来了!奇怪,之前设置的这个帐户是无权本地和远程登录的啊,这个问题我也一直没有找到原因。
于是禁止用户远程访问权限,并且将RDP权限中加入了这个用户为拒绝!既然人家已经进来了,也只能将计就计,将账户目录的安全性配置为管理员组和ONWER拒绝,这样一来即使因SQL漏洞对方在进入也只是一个空的界面很难做其它动作,当然还是有突破的办法!不过,起码可以抵挡一段时间!可以让我们及时发现入侵者。
最后还是要从SQL下手才能解决问题,可是因为环境要求,做端口限制或者IPSec是不可能的,不过我决定还是把UDP1434给封上。最后从xp_cmdshell下手,关闭它来解决基本的问题!
sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'(这条命令是用来恢复的)
监视一段时间好了!唉……
中国网通及中国电信的IP地址库
从群组好友那里获取的宝贵数据,非常的有价值,特备忘到自己的Blog上。
意外的惊喜 VMRCplus - 强劲的 VSRV2005 工具
Virtual Server 2005R2 微软出品的一款极具竞争力的虚拟机平台软件,他的直接竞争对手就是VmwareGSX。虽然微软刚刚涉足这款产品领域,不过其强大研发能力和资金实力的支持下,产品在刚上市还是得到了认可,虽然其中有一些不足。
之前我就一直很喜欢微软的VirtualPC和VirtualServer,后来还将自己的个人网站迁移到VirtualServer上来运行,其优点我就不再阐述,可以看我之前的Blog!不过后来转移到VMwareGSX上也是迫不得已,最后到VirtualServer的R2简体中文版发布后才找到之前遇到的问题的原因,是因为SCSI硬盘引起的。
后来就一直很少再用VirtualServer,因为我工作平台是XP,不想装IIS,而且感觉操作比较麻烦都要在web方式下进行,这不太适合我所需要的,当然如果用在某些生产环境下,web方式的管理就很方便了!
今天QQ群组里的一个老朋友给我介绍了一款软件VMRCplus,据他说这是微软内部使用的,我一听就特别感兴趣让他介绍介绍,他直接就发给我了(PS:对我非常信任)并嘱咐不要外传,这个我当然遵守所以看到此篇Blog的朋友不要引诱我犯错误。
此工具的安装非常简单,根据自己的主机架构执行相应的安装脚本就可以了,我的x86架构所以对应运行以下脚本就完成了工具的安装,实际上也就是使工具跟当前系统上的VirtualServer注册上。
初次运行,感觉界面很普通,但是却很简洁,比较喜欢!华而不实对我来说没有任何吸引力。具备了该有的管理功能,建立磁盘管理网络属性,监视资源占用等等。哈哈,有了它就可以完全放弃WEB管理了,也就是说可以不用安装IIS,操作管理界面也更加直观,并且支持管理远程的VirtualServer。我尝试建立一台虚拟机发现真的很轻松。
这个管理界面还可以最小化到系统栏中,这就说明我们可以很方便的使用它,而且不用占据很宝贵的任务栏空间,而且放到系统栏中后,也不觉得它特别碍眼了。
打开 About,发现只有简单的一个版本信息和作者,因为涉及到隐私,所以我把作者的相关信息给抹去了,没办法,答应过人家。不过从说工具的说明文档中可以看出此工具是一直在升级的,希望作者有一天能正式公布出来与大家分享。
当我打开控制端后,我真的惊讶了,这个工具叫VMRCplus真的很确切,因为它支持载入本地ISO文件或光驱以及软盘镜像。这个功能我实在太需要了,我认为我会重新回到VirtualServer阵营上,继续使用它来实现我的一些需求。
好了就介绍到这里,我要去实际体验一下,很有快感~~~~~~
