最近是不是突然有黑客在专门攻击SQLserver服务器？

银击长空 · 发表于 2024-3-13 14:14

rt 四线小公司，自己开了2台电脑用sqlserver2008搭建了2个服务器给小公司的异地管家婆软件和私人软件用，杀毒目前是只装了360，因为10多年都没发生大事情，就摆烂了凑活着用。

然后前几天就是相隔20多公里毫不相干，物理距离有二十公里的2个服务器接连出现了同一个奇怪的症状：开机进系统以后瞬间鼠标非常卡，做啥都动不得，就好像是同时开了N个超大的程序占用电脑资源一样，ctrl alt del三键都不能相应，只能断网，一断网再重启就好，开网就歇。我在路由上做了211端口共享，后来发现关了211端口上网也没事开了就歇菜死机，但是又不能不开，不开的话两边的管家婆数据连不起来。然后我想了一下，把默认登录系统的用户名加了密码（以前图方便没设密码直接进系统的汗），好了一点，不会立刻卡死了，但是还是偶尔死机，360后台显示有人在暴力穷举破解。以前用了好多年从来没有过这种事，是不是现在流行什么新的病毒还是木马？360杀毒防不住。我也不知道去找那个程序员高手，就来娘家问问，这每天提心吊胆的，服务器一死机基本工作全部歇菜，汗都出来了。谢谢

yunluo · 发表于 2024-3-13 14:19

可能是挖矿肉鸡

银击长空 · 发表于 2024-3-13 14:27

yunluo 发表于 2024-3-13 14:19
可能是挖矿肉鸡

我现在怕是勒索软件，关键他是不攻击sql服务器以外的电脑，我总共10几台工作的电脑其他的都好好的，就sql服务器的被攻击了

SOS團 · 发表于 2024-3-13 14:28

内网机NAT没做1433和1434映射的话他如何远程你的mssql的？

银击长空 · 发表于 2024-3-13 18:00

SOS團发表于 2024-3-13 14:28
内网机NAT没做1433和1434映射的话他如何远程你的mssql的？

兄弟我是做了1433的映射关了就没死机问题了但是问题是我物理上有相隔几十公里的A区和B区各自内网有一个服务器存着一个数据 A区要用B区内网某软件的数据库 B区也要用A区内网某软件的数据库现在我目前是路由做了一个简单的端口映射1433 连sqlserver 以前一直没事现在关了A区B区两边的数据库怎么用安全的办法连起来？

银击长空 · 发表于 2024-3-13 18:03

360测不出来一点问题买了卡巴斯基付费的3年一下查出来这么多人都麻了

银击长空 · 发表于 2024-3-13 18:18

自己顶一下这个啥病毒？我百度了一下，炸萨？

RaidenII · 发表于 2024-3-13 18:19

银击长空发表于 2024-3-13 05:00
兄弟我是做了1433的映射关了就没死机问题了但是问题是我物理上有相隔几十公里的A区和B区各自内网有一 ...

site to site **然后当内网连接啊...公开暴露1433是嫌没人来暴力破解账号吗
win环境能用kerberos认证就尽量不要用用户名密码，这样安全性好很多

SOS團 · 发表于 2024-3-13 18:21

银击长空发表于 2024-3-13 18:00
兄弟我是做了1433的映射关了就没死机问题了但是问题是我物理上有相隔几十公里的A区和B区各自内网有一 ...

你就不会改个端口么

macos · 发表于 2024-3-13 18:38

你也知道摆烂了，就别挣扎了

geeky_kappa · 发表于 2024-3-13 18:49

改端口啊，很多人整个IP段扫攻击目标的

hgfdsa · 发表于 2024-3-13 19:32

换端口，不开放sa的公网登录

银击长空 · 发表于 2024-3-13 20:03

SOS團发表于 2024-3-13 18:21
你就不会改个端口么

兄弟我也想啊问题是管家婆服务器端不支持端口输入啊，他可以填ip 也可以填域名但是在ip和域名后面不能填端口啊

acekanon · 发表于 2024-3-13 20:03

2008漏洞多别放公网上了

----发送自 Xiaomi 22041211AC,Android 13

银击长空 · 发表于 2024-3-13 20:04

geeky_kappa 发表于 2024-3-13 18:49
改端口啊，很多人整个IP段扫攻击目标的

管家婆连数据库不能在ip端后面加端口号所以你要211端口映射外网端口也必须写211 假设你网址是x你写外网端口x:234去映射内网端口211 管家婆提示地址不对

ashunicorn · 发表于 2024-3-13 20:38

限源啊？

—— 来自 S1Fun

SOS團 · 发表于 2024-3-13 20:41

银击长空发表于 2024-3-13 20:03
兄弟我也想啊问题是管家婆服务器端不支持端口输入啊，他可以填ip 也可以填域名但是在ip和域名后面不能 ...

两边有固定IP么，有的话可以做IP安全策略限制端口连接的IP。

铅笔画 · 发表于 2024-3-13 20:47

你改端口，中间再映射一次成1433再给管家婆用不就好了

https://mp.weixin.qq.com/s/IaG9XpWrmHmAez4OKhEsvA

观世透 · 发表于 2024-3-13 20:49

做个IPsec **啊

银击长空 · 发表于 2024-3-13 21:06

SOS團发表于 2024-3-13 20:41
两边有固定IP么，有的话可以做IP安全策略限制端口连接的IP。

目前是试了一下那个路由侠软件第三方地址转包一下虽然有点卡。。。。。

银击长空 · 发表于 2024-3-13 21:10

铅笔画发表于 2024-3-13 20:47
你改端口，中间再映射一次成1433再给管家婆用不就好了

https://mp.weixin.qq.com/s/IaG9XpWrmHmAez4OKhEsv ...

我目前是网上顺手搜了一个路由侠转包发成第三方地址在转回来理论可行但是问题是第一有点点卡第二这个软件看起来一股子草台味道联系都没有固定电话而是qq号我怕他做几年倒闭了。。。有没有比较权威或者比较大的软件你的这个怎么样

银击长空 · 发表于 2024-3-13 21:10

观世透发表于 2024-3-13 20:49
做个IPsec **啊

楼上的打出来也是** 这个**是啥啊兄弟

lyt777 · 发表于 2024-3-13 21:13

银击长空发表于 2024-3-13 21:10
楼上的打出来也是** 这个**是啥啊兄弟

V P N

银击长空 · 发表于 2024-3-13 21:13

SOS團发表于 2024-3-13 20:41
两边有固定IP么，有的话可以做IP安全策略限制端口连接的IP。

当然就是没有 2边都是电信宽带电信宽带10年前就不提供固定ip了都是虚拟ip 当初也就是软件数据传输重要但是其实数据量很小很小，所以16年开始就这样凑合着用结果最近翻车了 211 和1433 端口映射在路由里一放开本机映射必然死机不管你开着什么杀毒软件
说起来我也是搞不懂管家婆输入ip的地方不能加外部端口号是什么意思。。。。

银击长空 · 发表于 2024-3-13 21:14

acekanon 发表于 2024-3-13 20:03
2008漏洞多别放公网上了

----发送自 Xiaomi 22041211AC,Android 13

那么最好的策略是换更好版本的sqlserver？

tonyshva · 发表于 2024-3-13 21:14

其实网上撞库的肉鸡一直挺多的吧

论坛助手,iPhone

塩天使リエル · 发表于 2024-3-13 21:15

不是最近专门有黑客攻击，是公网无时无刻都有脚本在扫各个ip的常用端口。我也中过招，开放3306加简单密码，mysql被清空了，还留下信息勒索 0.1 bitcoin。

SOS團 · 发表于 2024-3-13 21:28

银击长空发表于 2024-3-13 21:13
当然就是没有 2边都是电信宽带电信宽带10年前就不提供固定ip了都是虚拟ip 当初也就是软件数据传输重要 ...

那你输入的IP也经常要手动改么？

satan023 · 发表于 2024-3-13 21:41

我今天收到深信服的安全通告了，你可别中了这玩意儿啊

【深信服-紧急事件通告】
尊敬的用户，您好，近日深信服安全团队发现以下最新病毒威胁。
近期，一款名为Mallox勒索病毒家族的新变种在客户侧传播，该变种使用复杂的控制流混淆技术修改二进制特征以突破安全软件的静态检测。

【利用详情】
此次事件中，攻击者以爆破SqlServer弱密码的方式进入客户系统，进行前期打点，搜集必要信息。随后安装anydesk等远控软件接管客户系统，执行勒索病毒，攻击者进行双重勒索，加密并上传系统文件。加密后缀为.Mallox。

【IOC详情】
91[.]215[.]85[.]142，建议在出口防火墙封锁该IP。

【处置建议】
1. 避免将重要服务在外网开放，若一定要开放，需增加口令复杂度，避免使用弱口令。
2. 避免打开可疑或来历不明的邮件，尤其是其中的链接和附件等，如一定要打开未知文件，请先使用杀毒软件进行扫描。
3. 安装信誉良好的防病毒/反间谍软件，定期进行系统全盘扫描，并删除检测到的威胁，按时升级打补丁。
4. 使用官方和经过验证的下载渠道，使用正版开发人员提供的工具/功能激活和更新产品，不建议使用非法激活工具和第三方下载器，因为它们通常用于分发恶意内容。
5. 重要的数据最好双机备份或云备份。

—— 来自 OPPO PCCM00, Android 10上的 S1Next-鹅版 v2.5.2-play

acekanon · 发表于 2024-3-13 21:41

银击长空发表于 2024-3-13 21:14
那么最好的策略是换更好版本的sqlserver？

https://msrc.microsoft.com/update-guide/vulnerability
随便搜下 sql server你就会放弃公网上折腾了，
真生产库肯定不能暴露公网的

カドモン · 发表于 2024-3-13 22:01

公网被人扫了

银击长空 · 发表于 2024-3-13 22:07

SOS團发表于 2024-3-13 21:28
那你输入的IP也经常要手动改么？

本来是要的但是tplink路由自带一个ddns 提供自带域名和ip挂钩功能注册个域名直接挂钩当前ip 所以用他的域名就等于当前IP

银击长空 · 发表于 2024-3-13 22:10

lyt777 发表于 2024-3-13 21:13
V P N

嗯一个朋友建议我用v p n路由不过从来没有用过明天上网问问看TPLINK那边客服谢谢了兄弟

zerona · 发表于 2024-3-13 22:29

安防公司咨询下吧，你被人扫出来就可能被盯上了，以你的设备的安全情况不好说其他设备的安全性。嗯，还有对端的设备安全。

暗黑破坏棍 · 发表于 2024-3-13 22:54

重要的资料抓紧时间先做多个备份
如果有多余的多网口电脑可以自己装一台开源防火墙 pfSense、OPNsense 都可以
多少是一点基本的防护

hanyuwei70 · 发表于 2024-3-13 23:05

LZ你做这行多久了？
公网放开mssql？不加TLS？你哪来的勇气？

不思者嗷呜 · 发表于 2024-3-13 23:32

难怪微软自己做电脑管家

铅笔画 · 发表于 2024-3-14 07:02

银击长空发表于 2024-3-13 21:10
我目前是网上顺手搜了一个路由侠转包发成第三方地址在转回来理论可行但是问题是第一有点点卡第二这个 ...

我是随手搜的一个给你个思路而已，这软件我都没听过

SOS團 · 发表于 2024-3-14 07:07

本帖最后由 SOS團于 2024-3-14 07:09 编辑

银击长空发表于 2024-3-13 22:07
本来是要的但是tplink路由自带一个ddns 提供自带域名和ip挂钩功能注册个域名直接挂钩当前ip 所以用他的 ...

你这个环境对性能效率要求不高的话还是在同个内网加台机器做个端口转发比较好点，转发工具网上也蛮多的比如porttunnel，转发端口就可以不用1433--1433了数据库端口随便改，这样mssql就可以做IP限制内网了。

diohanmilton · 发表于 2024-3-14 07:31

提示: 作者被禁止或删除内容自动屏蔽

		自动登录	找回密码
密码			立即注册

[科技] 最近是不是突然有黑客在专门攻击SQLserver服务器？

本帖子中包含更多资源

本帖子中包含更多资源

diohanmilton diohanmilton 当前离线禁止发言精华 \| 战斗力鹅 \| 回帖 0 注册时间 2014-12-12 头像被屏蔽	发表于 2024-3-14 07:31 来自手机 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽

	回复使用道具举报