記一次公司mssql server密碼頻繁被改的事件

Sheldon_Lou發表於2020-09-25

環境描述

近期公司伺服器mssql密碼頻繁被改,導致各種業務系統無法連線,報錯。昨天來公司,發現4臺資料庫3臺密碼都變了。今天嘗試著去查查是否能找到問題根源。

步驟

  1. 4臺伺服器3臺連不上,只有64還活著

    pic

  2. 開啟SqlServer Profiler工具監控sql執行日誌,著重關注Audit Login Change Password事件。可以看到Microl(不是Micro) office程式 執行了修改密碼的指令。

    pic

  3. 接著往上找,發現其第一步是執行了@a這個儲存過程,總共4個。

    pic

    pic

  4. 通過工具解析其內容。

    pic

  5. 通過sql執行exe,然後再用將自己程式kill的方式退出,基本可以判定這個應用不正常。

    pic

  6. 走到這步可以得出結論,伺服器中毒了。本來想搜一下psa.exe,但是一般病毒名字都會用隨機字元處理,感覺搜了也沒用,就沒有搜。

  7. 既然中毒了就裝一個防毒軟體殺防毒試試。

  8. 首先是查到2個病毒,殺了。(忘記截圖了)以為就好了。

  9. 然後在12點42看到一個關於SQLAGENT阻止程式建立的日誌,意識到事情還沒結束。

    pic

  10. SQLAGENT是什麼?看這裡。簡單來說就是一個任務排程器。執行儲存在sql server中的任務的工具。這些任務包括資料備份等。

  11. 然後就有個疑問,他要執行什麼任務?查一下。

    select * from msdb.dbo.sysjobs;
    
    

    pic

  12. 這些job的建立時間是早上10點21分45秒。第一步裡面,密碼的變更時間也是10點21分45秒,絕對有關係。再看一下之前profiler中抓到的sql日誌。

    pic

  13. 這些任務都出來了。

  14. 沒招了,上網搜尋pdoor.exe碰碰運氣。運氣不錯,一下就出來了。連結

    pic

  15. 更專業詳細的內容可以看文章介紹。病毒的查殺方案在上面文章中也有。

  16. 感慨一下,如果他不來改我們資料庫的密碼,貌似我們也發現不了。換個角度,為什麼他要來改?因為他不曉得我們的密碼。為什麼不曉得我們密碼也能在我們的sql中執行指令碼?因為我們的資料庫是弱密碼。為什麼不給改回去,這樣我們就發現不了了?【這是一個問題。】

結論

不要弱密碼,不要弱密碼,不要弱密碼

專殺連結

下載,全盤掃描。

  • 64位系統下載連結:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

  • 32位系統下載連結:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

相關文章