IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類(lèi)|軟件專(zhuān)題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁(yè)數(shù)據(jù)庫(kù)MSSQL → 檢測(cè)你的SQL Server是否有特洛伊木馬

檢測(cè)你的SQL Server是否有特洛伊木馬

時(shí)間:2015-06-28 00:00:00 來(lái)源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評(píng)論(0)

你的SQL Server最近是否運(yùn)行不正常?不,我指的不是我們肯定會(huì)遇到的通常的數(shù)據(jù)庫(kù)操作系統(tǒng)問(wèn)題。我的意思是,你是否經(jīng)歷過(guò)服務(wù)器的反應(yīng)遲鈍,不穩(wěn)定的動(dòng)作,繁重的網(wǎng)絡(luò)負(fù)擔(dān),或者是服務(wù)器處理或者內(nèi)存利用率的直線上升?哦,不排除在你的系統(tǒng)中有特洛伊木馬。SQL Server與你接觸的大多數(shù)其它計(jì)算機(jī)一樣,也可以從Internet上訪問(wèn)并下載和安裝軟件。這些以及其它那些我們每天經(jīng)常做的事情可能會(huì)為特洛伊木馬提供安裝的途徑??雌饋?lái)很奇怪,但是就服務(wù)器而言,感染上病毒是很容易的——特別是當(dāng)你沒(méi)有用保護(hù)你的終端用戶(hù)系統(tǒng)那樣的方式來(lái)保護(hù)它的時(shí)候。

當(dāng)你發(fā)現(xiàn)你的數(shù)據(jù)庫(kù)服務(wù)器發(fā)生了奇怪的現(xiàn)象,在你花費(fèi)數(shù)不盡的時(shí)間試圖解決應(yīng)用程序或者數(shù)據(jù)庫(kù)問(wèn)題之前,應(yīng)該首先運(yùn)行如下的測(cè)試,看看是否感染了特洛伊病毒。

1:使用惡意軟件掃描器

我曾見(jiàn)過(guò)有數(shù)據(jù)庫(kù)服務(wù)器因?yàn)榕滦阅芟陆祷蛘呦到y(tǒng)崩潰而不采取,或者采取有限的惡意軟件防范措施。很明顯,這是要關(guān)心的兩碼事,但是價(jià)格是什么?如果你沒(méi)有安裝反病毒軟件,那么就盡快弄一個(gè)來(lái)運(yùn)行吧。如果需要實(shí)時(shí)保護(hù)的資源太多了,那么就將你的數(shù)據(jù)庫(kù)和其它高活動(dòng)性的目錄排除在實(shí)時(shí)掃描的外面吧。否則,最低限度,你也要安裝反病毒軟件,然后每隔幾天,找個(gè)非高峰的時(shí)間來(lái)掃描本地磁盤(pán)。

如果你已經(jīng)運(yùn)行了反病毒軟件,那么確保它是最新的(那些基于客戶(hù)端的自動(dòng)更新和網(wǎng)絡(luò)管理簽名并不是百分百的可靠),并且執(zhí)行一次全面的系統(tǒng)掃描。不要害怕安裝和使用其他供應(yīng)商的軟件——特別是當(dāng)它涉及間諜軟件保護(hù)的時(shí)候。

2: 查看內(nèi)存

你可以使用Windows任務(wù)管理器來(lái)搜索那些看起來(lái)就屬于惡意軟件,或者使用了太多內(nèi)存或者占用了大量CPU時(shí)間的應(yīng)用程序。我建議你使用Sysinternals公司的Process Explorer(下面高亮顯示的NetBus Trojan),因?yàn)樗峁┝诉\(yùn)行進(jìn)程的較多信息,并且以更可靠的方式來(lái)殺掉那些不應(yīng)該的進(jìn)程。

你也許會(huì)想,這看起來(lái)也太強(qiáng)了吧——你怎么可能抓住那些載入你的Windows服務(wù)器上的東西。你考慮一下就會(huì)發(fā)現(xiàn)它實(shí)際上不是特別復(fù)雜;在你的網(wǎng)絡(luò)中的所有系統(tǒng)中,你確實(shí)需要徹底地了解你的數(shù)據(jù)庫(kù)——其中包括記錄哪些進(jìn)程應(yīng)該運(yùn)行,哪些不應(yīng)該。所以,如果你在第一次安裝之后擁有了良好的基線——甚至是現(xiàn)在,假設(shè)所有事物都運(yùn)行得很好——當(dāng)發(fā)生特洛伊類(lèi)型的問(wèn)題的時(shí)候,你就可以用它作為你比較的基礎(chǔ)。

3: 查看開(kāi)放的端口

你可以使用Windows內(nèi)置的netstat工具來(lái)查看哪些端口開(kāi)放的,并且連接到服務(wù)器上。在命令行中,輸入netstat –an|more,可以一頁(yè)挨著一頁(yè)地查看開(kāi)放的和監(jiān)聽(tīng)的TCP和UDP端口。還有一種更好的方法就是使用Foundstone的 Vision工具或者Sysinternals公司的TCPView工具來(lái)完成。

4: 查看你的網(wǎng)絡(luò)流量

也許判斷你的SQL Server中是否發(fā)生了惡意行為的最簡(jiǎn)單辦法就是看看它是否進(jìn)行了網(wǎng)絡(luò)通信。如果你有一個(gè)非常順手的網(wǎng)絡(luò)分析器,那么你就可以在1、2分鐘之內(nèi)發(fā)現(xiàn)情況。你可以使用SQL Server自身攜帶的分析器,或者從別處連接到你的以太網(wǎng)交換器的交換或者鏡像端口上。

我比較喜歡EtherPeek這個(gè)網(wǎng)絡(luò)分析器,它可以像大多數(shù)其它分析器一樣捕捉進(jìn)出你的SQL Server的包。如下圖所示,一些跑在TCP端口12345上(通常是NetBus的特洛伊端口)流量就被發(fā)現(xiàn)了。

EtherPeek可以輕松抓取網(wǎng)絡(luò)流量,并且高亮顯示特洛伊的動(dòng)作——在本次網(wǎng)絡(luò)流量抓取過(guò)程中

你可以真正地創(chuàng)建你自己的網(wǎng)絡(luò)分析觸發(fā)器和過(guò)濾器,如果你知道要尋找什么的話(huà)。這里的列表列出了常見(jiàn)的特洛伊和相關(guān)端口的細(xì)膩向。這種發(fā)現(xiàn)惡意流量的方法并不是十分安全,因?yàn)槎丝谔?hào)是可以經(jīng)常更換的,但是它的服務(wù)器是個(gè)不錯(cuò)的目標(biāo)。

你可以在"監(jiān)控"模式下運(yùn)行Ether Peek,讓它對(duì)網(wǎng)絡(luò)上發(fā)生的事情有個(gè)從上到下的整體視角,——而不需要抓取包。你可以查看正在使用哪個(gè)協(xié)議,尋找巨大的流量,奇怪的通信,以及其它網(wǎng)絡(luò)進(jìn)出你的SQL Server系統(tǒng)的傾向。

5:對(duì)付惡意軟件的方法

特洛伊木馬是計(jì)算機(jī)上的一個(gè)令人厭惡的創(chuàng)造——它創(chuàng)建遠(yuǎn)程訪問(wèn)隧道,截獲按鍵,刪除數(shù)據(jù)等更多事情——特別是在你最重要的服務(wù)器上。很明顯,最好的辦法就是不用你的SQL Server進(jìn)行Internet訪問(wèn),Web瀏覽,電子郵件等行為?!?,這不現(xiàn)實(shí)。你(或者其他人)可能會(huì)需要它最終不僅僅作為一個(gè)數(shù)據(jù)庫(kù)服務(wù)器。一旦這樣的事情出現(xiàn)了,你就需要確保你是被保護(hù)的。不要把責(zé)任推卸給其他人,或者其他任何東西,特洛伊不是運(yùn)行在他們的系統(tǒng)上。不論以何種方式,永遠(yuǎn)不要假設(shè)你的反病毒軟件可以保證你萬(wàn)無(wú)一失。

分析并解決惡意軟件的方法:如果你想要攻擊,或者安裝一個(gè)可以在網(wǎng)絡(luò)上給你幫助的欺詐軟件,那么沒(méi)有什么地方比直接在SQL Server上更好了。你的服務(wù)器上可能還沒(méi)有特洛伊,但是如果你感覺(jué)到有問(wèn)題,那么兇手就可以很容易發(fā)現(xiàn)。

那些壞人知道,很多服務(wù)器都沒(méi)有針對(duì)惡意軟件的保護(hù)。他們也知道,出于性能和系統(tǒng)在線服務(wù)時(shí)間的原因,操勞過(guò)度的管理員們很難再去在他們的數(shù)據(jù)庫(kù)服務(wù)器上安裝安全軟件或者執(zhí)行某些保護(hù)措施。保護(hù)你的服務(wù)器,并且了解如何以及在哪里尋找問(wèn)題的起源吧。

關(guān)鍵詞標(biāo)簽:SQLServer,特洛伊木馬

相關(guān)閱讀

文章評(píng)論
發(fā)表評(píng)論

熱門(mén)文章 淺談JSP JDBC來(lái)連接SQL Server 2005的方法 淺談JSP JDBC來(lái)連接SQL Server 2005的方法 SqlServer2005對(duì)現(xiàn)有數(shù)據(jù)進(jìn)行分區(qū)具體步驟 SqlServer2005對(duì)現(xiàn)有數(shù)據(jù)進(jìn)行分區(qū)具體步驟 sql server系統(tǒng)表?yè)p壞的解決方法 sql server系統(tǒng)表?yè)p壞的解決方法 MS-SQL2005服務(wù)器登錄名、角色、數(shù)據(jù)庫(kù)用戶(hù)、角色、架構(gòu)的關(guān)系 MS-SQL2005服務(wù)器登錄名、角色、數(shù)據(jù)庫(kù)用戶(hù)、角色、架構(gòu)的關(guān)系

相關(guān)下載

    人氣排行 配置和注冊(cè)O(shè)DBC數(shù)據(jù)源-odbc數(shù)據(jù)源配置教程 如何遠(yuǎn)程備份(還原)SQL2000數(shù)據(jù)庫(kù) SQL2000數(shù)據(jù)庫(kù)遠(yuǎn)程導(dǎo)入(導(dǎo)出)數(shù)據(jù) SQL2000和SQL2005數(shù)據(jù)庫(kù)服務(wù)端口查看或修改 修改Sql Server唯一約束教程 SQL Server 2005降級(jí)到2000的正確操作步驟 sql server系統(tǒng)表?yè)p壞的解決方法 淺談JSP JDBC來(lái)連接SQL Server 2005的方法