SQL Server是否有特洛伊木馬的測試
當你發現你的資料庫伺服器發生了奇怪的現象,在你花費數不盡的時間試圖解決應用程式或者資料庫問題之前,應該首先執行如下的測試,看看是否感染了特洛伊病毒。
1:使用惡意軟體掃描器
我曾見過有資料庫伺服器因為怕效能下降或者系統崩潰而不採取,或者採取有限的惡意軟體防範措施。很明顯,這是要關心的兩碼事,但是價格是什麼?如果你沒有安裝反病毒軟體,那麼就儘快弄一個來執行吧。如果需要實時保護的資源太多了,那麼就將你的資料庫和其它高活動性的目錄排除在實時掃描的外面吧。否則,最低限度,你也要安裝反病毒軟體,然後每隔幾天,找個非高峰的時間來掃描本地磁碟。
如果你已經執行了反病毒軟體,那麼確保它是最新的(那些基於客戶端的自動更新和網路管理簽名並不是百分百的可靠),並且執行一次全面的系統掃描。不要害怕安裝和使用其他供應商的軟體——特別是當它涉及間諜軟體保護的時候。
2:檢視記憶體
你可以使用Windows工作管理員來搜尋那些看起來就屬於惡意軟體,或者使用了太多記憶體或者佔用了大量CPU時間的應用程式。我建議你使用Sysinternals公司的Process Explorer(下面高亮顯示的NetBus Trojan),因為它提供了執行程式的較多資訊,並且以更可靠的方式來殺掉那些不應該的程式。
你也許會想,這看起來也太強了吧——你怎麼可能抓住那些載入你的Windows伺服器上的東西。你考慮一下就會發現它實際上不是特別複雜;在你的網路中的所有系統中,你確實需要徹底地瞭解你的資料庫——其中包括記錄哪些程式應該執行,哪些不應該。所以,如果你在第一次安裝之後擁有了良好的基線——甚至是現在,假設所有事物都執行得很好——當發生特洛伊型別的問題的時候,你就可以用它作為你比較的基礎。
3:檢視開放的埠
你可以使用Windows內建的netstat工具來檢視哪些埠開放的,並且連線到伺服器上。在命令列中,輸入netstat –an|more,可以一頁挨著一頁地檢視開放的和監聽的TCP和UDP埠。還有一種更好的方法就是使用Foundstone的Vision工具或者Sysinternals公司的TCPView工具來完成。
4:檢視你的網路流量
也許判斷你的SQL Server中是否發生了惡意行為的最簡單辦法就是看看它是否進行了網路通訊。如果你有一個非常順手的網路分析器,那麼你就可以在1、2分鐘之內發現情況。你可以使用SQL Server自身攜帶的分析器,或者從別處連線到你的乙太網交換器的交換或者映象埠上。
我比較喜歡EtherPeek這個網路分析器,它可以像大多數其它分析器一樣捕捉進出你的SQL Server的包。如下圖所示,一些跑在TCP埠12345上(通常是NetBus的特洛伊埠)流量就被發現了。
EtherPeek可以輕鬆抓取網路流量,並且高亮顯示特洛伊的動作——在本次網路流量抓取過程中。
你可以真正地建立你自己的網路分析觸發器和過濾器,如果你知道要尋找什麼的話。這裡的列表列出了常見的特洛伊和相關埠的細膩向。這種發現惡意流量的方法並不是十分安全,因為埠號是可以經常更換的,但是它的伺服器是個不錯的目標。
你可以在“監控”模式下執行Ether Peek,讓它對網路上發生的事情有個從上到下的整體視角,——而不需要抓取包。你可以檢視正在使用哪個協議,尋找巨大的流量,奇怪的通訊,以及其它網路進出你的SQL Server系統的傾向。
5:對付惡意軟體的方法
特洛伊木馬是計算機上的一個令人厭惡的創造——它建立遠端訪問隧道,截獲按鍵,刪除資料等更多事情——特別是在你最重要的伺服器上。很明顯,最好的辦法就是不用你的SQL Server進行Internet訪問,Web瀏覽,電子郵件等行為。——但是,這不現實。你(或者其他人)可能會需要它最終不僅僅作為一個資料庫伺服器。一旦這樣的事情出現了,你就需要確保你是被保護的。不要把責任推卸給其他人,或者其他任何東西,特洛伊不是執行在他們的系統上。不論以何種方式,永遠不要假設你的反病毒軟體可以保證你萬無一失。
分析並解決惡意軟體的方法:如果你想要攻擊,或者安裝一個可以在網路上給你幫助的欺詐軟體,那麼沒有什麼地方比直接在SQL Server上更好了。你的伺服器上可能還沒有特洛伊,但是如果你感覺到有問題,那麼凶手就可以很容易發現。
那些壞人知道,很多伺服器都沒有針對惡意軟體的保護。他們也知道,出於效能和系統線上服務時間的原因,操勞過度的管理員們很難再去在他們的資料庫伺服器上安裝安全軟體或者執行某些保護措施。保護你的伺服器,並且瞭解如何以及在哪裡尋找問題的起源吧。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/16436858/viewspace-548720/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- Sql Server生成測試資料SQLServer
- 一個不坐旋轉木馬的朋友
- 區別木馬與病毒,以及識別與防治木馬的方法
- 駭客知識之你真的知道特洛伊木馬嗎(轉)
- 【病毒木馬】Gozi銀行木馬的“黑盒遊戲”:你永遠不知道郵件附件有什麼Go遊戲
- SQL Server Availability Group Failover 測試SQLServerAI
- SQL SERVER 2000壓力測試SQLServer
- 一個支付寶木馬的分析溯源之旅
- 一次minerd肉雞木馬的排查思路
- 如何修復被掛木馬的php網站PHP網站
- SQL SERVER 2000壓力測試 (轉)SQLServer
- 測試SQL Server業務規則連結方法SQLServer
- 網路駭客欺騙執行木馬的方法!(轉)
- SQL SERVER 建表table之前,檢查是否有同名的表存在SQLServer
- Linux挖礦木馬的技術演進探討Linux
- 檔案關聯型木馬的程式設計思路 (轉)程式設計
- SQL Server 2005效能測試之CPU篇SQLServer
- 測試SQL Server各個版本的的效能 (轉)SQLServer
- 測試FORMS SERVERORMServer
- 什麼是惡意軟體?病毒,蠕蟲,特洛伊木馬等有害程式
- 測試sql server全文索引,結果遇到問題SQLServer索引
- SQL Server 2008 效能測試和調優SQLServer
- sql server agent與sql server有什麼區別 ?SQLServer
- 測試安裝是否成功
- sql server 2008 是否值得期待?SQLServer
- 寫木馬的經典,dll插入系統程式的原始碼(轉)原始碼
- Sql Server 2005 row_number()分頁效能測試SQLServer
- 有了測試團隊,再寫單元測試,是否是浪費開發時間呢?
- Django 測試是否安裝成功Django
- 測試DNS智慧解析是否正常DNS
- SQL PROFILE 測試SQL
- 【測試者家園】sql server系統表詳細說明SQLServer
- 測試是否有必要看開發程式碼?如何能看懂?
- dedicated server連線測試Server
- 檢查電腦是否被掛馬的常用命令
- 《shell條件測試語句,字串測試apache是否開啟》字串Apache
- Visual Studio 2010生成SQL Server測試資料SQLServer
- 關係型資料庫效能測試參考指標----SQL Server資料庫指標SQLServer