可能重复:
我的服务器被黑了应急
我有一台被攻破的机器每分钟尝试连接数百个连接,login到世界各地的其他mssql机器。 事件查看器显示数百个事件ID 18456错误。 这可能是networking服务进程这样做,错误如下:
Login failed for user 'sa'. Reason: Password did not match that for the login provided. [CLIENT: XXX.XXX.XXX.XXX]
我的机器正在尝试login到其他机器。 我以前find一个system.exe注意到“运行multithreadingSQLck v1.0.00 Beta9_1 – 只写入套接字命令”。 它使用密码的.dic文件来强制其他机器的SA密码。 我已经从系统中删除了该文件,但是我相信还有另一个使用的副本。
我无法确定MSSQL中的哪个进程正在启动这个进程,以及如何阻止它。
我怎么能阻止mssql试图login到东西没有我这样说呢? 可能有服务器需要login到(已知主机),但不是这些中文/巴西邮件服务器。
编辑:tl;博士:我的机器被用来蛮横其他服务器。 我如何阻止它?
这不是SQL Server产生login尝试的必要步骤。 任何具有SQL Server ODBC驱动程序或客户端连接组件的计算机都可以连接到SQL Server。 我将在服务器上运行Microsoftnetworking监视器,启动捕获,查找login尝试,并查看负责这些捕获尝试的进程(Microsoft Network Monitor列出所有连接所涉及的进程)。