你的SQL Server最近是否運行不正常?不,我指的不是我們肯定會遇到的通常的數(shù)據(jù)庫和操作系統(tǒng)問題�����。我的意思是�,你是否經(jīng)歷過服務器的反應遲鈍,不穩(wěn)定的動作�,繁重的網(wǎng)絡負擔,或者是服務器處理或者內(nèi)存利用率的直線上升?哦��,不排除在你的系統(tǒng)中有特洛伊木馬�����。SQL Server與你接觸的大多數(shù)其它計算機一樣�����,也可以從Internet上訪問并下載和安裝軟件。這些以及其它那些我們每天經(jīng)常做的事情可能會為特洛伊木馬提供安裝的途徑�。看起來很奇怪��,但是就服務器而言��,感染上病毒是很容易的——特別是當你沒有用保護你的終端用戶系統(tǒng)那樣的方式來保護它的時候��。
當你發(fā)現(xiàn)你的數(shù)據(jù)庫服務器發(fā)生了奇怪的現(xiàn)象�����,在你花費數(shù)不盡的時間試圖解決應用程序或者數(shù)據(jù)庫問題之前�����,應該首先運行如下的測試��,看看是否感染了特洛伊病毒��。
1:使用惡意軟件掃描器
我曾見過有數(shù)據(jù)庫服務器因為怕性能下降或者系統(tǒng)崩潰而不采取�����,或者采取有限的惡意軟件防范措施��。很明顯��,這是要關(guān)心的兩碼事�����,但是價格是什么?如果你沒有安裝反病毒軟件��,那么就盡快弄一個來運行吧�����。如果需要實時保護的資源太多了��,那么就將你的數(shù)據(jù)庫和其它高活動性的目錄排除在實時掃描的外面吧��。否則�,最低限度,你也要安裝反病毒軟件�����,然后每隔幾天�,找個非高峰的時間來掃描本地磁盤��。
如果你已經(jīng)運行了反病毒軟件�����,那么確保它是最新的(那些基于客戶端的自動更新和網(wǎng)絡管理簽名并不是百分百的可靠)�,并且執(zhí)行一次全面的系統(tǒng)掃描��。不要害怕安裝和使用其他供應商的軟件——特別是當它涉及間諜軟件保護的時候��。
2: 查看內(nèi)存
你可以使用Windows任務管理器來搜索那些看起來就屬于惡意軟件�����,或者使用了太多內(nèi)存或者占用了大量CPU時間的應用程序��。我建議你使用Sysinternals公司的Process Explorer(下面高亮顯示的NetBus Trojan)��,因為它提供了運行進程的較多信息��,并且以更可靠的方式來殺掉那些不應該的進程�����。
你也許會想�,這看起來也太強了吧——你怎么可能抓住那些載入你的Windows服務器上的東西��。你考慮一下就會發(fā)現(xiàn)它實際上不是特別復雜; 在你的網(wǎng)絡中的所有系統(tǒng)中��,你確實需要徹底地了解你的數(shù)據(jù)庫——其中包括記錄哪些進程應該運行,哪些不應該�����。所以�����,如果你在第一次安裝之后擁有了良好的基線——甚至是現(xiàn)在�����,假設所有事物都運行得很好——當發(fā)生特洛伊類型的問題的時候�,你就可以用它作為你比較的基礎(chǔ)。
3: 查看開放的端口
你可以使用Windows內(nèi)置的netstat工具來查看哪些端口開放的�,并且連接到服務器上。在命令行中�����,輸入netstat –an more�,可以一頁挨著一頁地查看開放的和監(jiān)聽的TCP和UDP端口�。還有一種更好的方法就是使用Foundstone的 Vision工具或者Sysinternals公司的TCPView工具來完成�。
4: 查看你的網(wǎng)絡流量
也許判斷你的SQL Server中是否發(fā)生了惡意行為的最簡單辦法就是看看它是否進行了網(wǎng)絡通信。如果你有一個非常順手的網(wǎng)絡分析器�,那么你就可以在1、2分鐘之內(nèi)發(fā)現(xiàn)情況��。你可以使用SQL Server自身攜帶的分析器�����,或者從別處連接到你的以太網(wǎng)交換器的交換或者鏡像端口上��。
我比較喜歡EtherPeek這個網(wǎng)絡分析器�����,它可以像大多數(shù)其它分析器一樣捕捉進出你的SQL Server的包�����。如下圖所示�,一些跑在TCP端口12345上(通常是NetBus的特洛伊端口)流量就被發(fā)現(xiàn)了。
EtherPeek可以輕松抓取網(wǎng)絡流量�����,并且高亮顯示特洛伊的動作——在本次網(wǎng)絡流量抓取過程中你可以真正地創(chuàng)建你自己的網(wǎng)絡分析觸發(fā)器和過濾器,如果你知道要尋找什么的話�����。這里的列表列出了常見的特洛伊和相關(guān)端口的細膩向�。這種發(fā)現(xiàn)惡意流量的方法并不是十分安全,因為端口號是可以經(jīng)常更換的�,但是它的服務器是個不錯的目標��。
你可以在"監(jiān)控"模式下運行Ether Peek�����,讓它對網(wǎng)絡上發(fā)生的事情有個從上到下的整體視角�����,——而不需要抓取包�。你可以查看正在使用哪個協(xié)議,尋找巨大的流量��,奇怪的通信�����,以及其它網(wǎng)絡進出你的SQL Server系統(tǒng)的傾向。
5:對付惡意軟件的方法
特洛伊木馬是計算機上的一個令人厭惡的創(chuàng)造——它創(chuàng)建遠程訪問隧道��,截獲按鍵��,刪除數(shù)據(jù)等更多事情——特別是在你最重要的服務器上��。很明顯�,最好的辦法就是不用你的SQL Server進行Internet訪問,Web瀏覽�����,電子郵件等行為��?�!?����,這不現(xiàn)實�。你(或者其他人)可能會需要它最終不僅僅作為一個數(shù)據(jù)庫服務器。一旦這樣的事情出現(xiàn)了�,你就需要確保你是被保護的。不要把責任推卸給其他人,或者其他任何東西��,特洛伊不是運行在他們的系統(tǒng)上�。不論以何種方式,永遠不要假設你的反病毒軟件可以保證你萬無一失�����。
分析并解決惡意軟件的方法:如果你想要攻擊��,或者安裝一個可以在網(wǎng)絡上給你幫助的欺詐軟件�,那么沒有什么地方比直接在SQL Server上更好了。你的服務器上可能還沒有特洛伊�,但是如果你感覺到有問題��,那么兇手就可以很容易發(fā)現(xiàn)�。
那些壞人知道,很多服務器都沒有針對惡意軟件的保護�����。他們也知道�,出于性能和系統(tǒng)在線服務時間的原因,操勞過度的管理員們很難再去在他們的數(shù)據(jù)庫服務器上安裝安全軟件或者執(zhí)行某些保護措施�。保護你的服務器,并且了解如何以及在哪里尋找問題的起源吧。
關(guān)鍵詞標簽:檢測SQL Server是否有
