服务器被攻击,sql server 数据一直被删除,求指教!

时间:2021-12-24 17:42:40
我的服务器端口全部限制了,数据库端口我限定了固定的端口才可以访问,我看了登陆用户没有异常,sa和windows登陆方式被我禁用了,我的数据一直被黑客删除,我做了触发器,我测试了,在别的服务器是删除不了的,并且在本地用自己创建的账户也删除不了,我想知道这个黑客到底是怎么删除的数据的,而且我用日志查看工具,发现没有删除日志记录,这个是怎么回事呢?困扰了很久了,不清楚到底是什么原因,

10 个解决方案

#1


有什么办法可以查到给他到底是怎么删除的数据的吗?

#2


本帖最后由 yenange 于 2018-03-28 08:18:02 编辑
你用的什么日志查看工具?具体的名称说一下。

你可以用一下SQL Server的审计: https://www.cnblogs.com/lyhabc/p/4074003.html

服务器上要设置防火墙, 只允许你自己服务器的其它IP可以访问SQL Server的端口。

#3


把服务器用户做一下登录限制,把数据库服务器登录名改一下

#4


引用 2 楼 yenange 的回复:
你用的什么日志查看工具?具体的名称说一下。

你可以用一下SQL Server的审计: https://www.cnblogs.com/lyhabc/p/4074003.html

服务器上要设置防火墙, 只允许你自己服务器的其它IP可以访问SQL Server的端口。


ApexSQL 我用的这个工具查看的日志,我正常删除的可以看到日志,但是查他的看不到日志,

【服务器上要设置防火墙, 只允许你自己服务器的其它IP可以访问SQL Server的端口。】已经设置了防火墙,限定了固定的ip,我的web服务器和数据库服务器是分开的,限定了只有几个web服务器才可以访问,我估计他是直接进入的数据库服务器权限,因为我测试过了,在web服务器是不可以删除数据的,有触发器,但是在数据库服务器上要是权限高,就可以获取删除数据的权限,我看了数据库服务器登陆日志,有显示有个System账户登陆。。。

#5


引用 3 楼 sinat_28984567 的回复:
把服务器用户做一下登录限制,把数据库服务器登录名改一下


这个做过,没有用。

#6


二种方式删,第一:知道你的数据库管理员账号密码,是管理员不是别的 第二 你的服务器可能多出了一个登陆账号
二种方式处理,第一 数据库禁止TCP连接 也就是只能本机访问,第二 远程登陆端口换掉,登陆用户删除重新设置  第三 装一个服务器安全狗关闭无用的开放端口

#7


建议先检查系统程序, 可能有Bug导致删除数据. 
从安全方面开始调查可能一开始就走错了方向..

#8


引用 7 楼 ap0405140 的回复:
建议先检查系统程序, 可能有Bug导致删除数据. 
从安全方面开始调查可能一开始就走错了方向..

肯定不是程序的问题,

#9


truncate table? 
这个是没有日志记录的

#10


你的服务器在公网还是内网?

#1


有什么办法可以查到给他到底是怎么删除的数据的吗?

#2


本帖最后由 yenange 于 2018-03-28 08:18:02 编辑
你用的什么日志查看工具?具体的名称说一下。

你可以用一下SQL Server的审计: https://www.cnblogs.com/lyhabc/p/4074003.html

服务器上要设置防火墙, 只允许你自己服务器的其它IP可以访问SQL Server的端口。

#3


把服务器用户做一下登录限制,把数据库服务器登录名改一下

#4


引用 2 楼 yenange 的回复:
你用的什么日志查看工具?具体的名称说一下。

你可以用一下SQL Server的审计: https://www.cnblogs.com/lyhabc/p/4074003.html

服务器上要设置防火墙, 只允许你自己服务器的其它IP可以访问SQL Server的端口。


ApexSQL 我用的这个工具查看的日志,我正常删除的可以看到日志,但是查他的看不到日志,

【服务器上要设置防火墙, 只允许你自己服务器的其它IP可以访问SQL Server的端口。】已经设置了防火墙,限定了固定的ip,我的web服务器和数据库服务器是分开的,限定了只有几个web服务器才可以访问,我估计他是直接进入的数据库服务器权限,因为我测试过了,在web服务器是不可以删除数据的,有触发器,但是在数据库服务器上要是权限高,就可以获取删除数据的权限,我看了数据库服务器登陆日志,有显示有个System账户登陆。。。

#5


引用 3 楼 sinat_28984567 的回复:
把服务器用户做一下登录限制,把数据库服务器登录名改一下


这个做过,没有用。

#6


二种方式删,第一:知道你的数据库管理员账号密码,是管理员不是别的 第二 你的服务器可能多出了一个登陆账号
二种方式处理,第一 数据库禁止TCP连接 也就是只能本机访问,第二 远程登陆端口换掉,登陆用户删除重新设置  第三 装一个服务器安全狗关闭无用的开放端口

#7


建议先检查系统程序, 可能有Bug导致删除数据. 
从安全方面开始调查可能一开始就走错了方向..

#8


引用 7 楼 ap0405140 的回复:
建议先检查系统程序, 可能有Bug导致删除数据. 
从安全方面开始调查可能一开始就走错了方向..

肯定不是程序的问题,

#9


truncate table? 
这个是没有日志记录的

#10


你的服务器在公网还是内网?