SQL Server是否有特洛伊木马的测试
当你发现你的数据库服务器发生了奇怪的现象,在你花费数不尽的时间试图解决应用程序或者数据库问题之前,应该首先运行如下的测试,看看是否感染了特洛伊病毒。
1:使用恶意软件扫描器
我曾见过有数据库服务器因为怕性能下降或者系统崩溃而不采取,或者采取有限的恶意软件防范措施。很明显,这是要关心的两码事,但是价格是什么?如果你没有安装反病毒软件,那么就尽快弄一个来运行吧。如果需要实时保护的资源太多了,那么就将你的数据库和其它高活动性的目录排除在实时扫描的外面吧。否则,最低限度,你也要安装反病毒软件,然后每隔几天,找个非高峰的时间来扫描本地磁盘。
如果你已经运行了反病毒软件,那么确保它是最新的(那些基于客户端的自动更新和网络管理签名并不是百分百的可靠),并且执行一次全面的系统扫描。不要害怕安装和使用其他供应商的软件——特别是当它涉及间谍软件保护的时候。
2:查看内存
你可以使用Windows任务管理器来搜索那些看起来就属于恶意软件,或者使用了太多内存或者占用了大量CPU时间的应用程序。我建议你使用Sysinternals公司的Process Explorer(下面高亮显示的NetBus Trojan),因为它提供了运行进程的较多信息,并且以更可靠的方式来杀掉那些不应该的进程。
你也许会想,这看起来也太强了吧——你怎么可能抓住那些载入你的Windows服务器上的东西。你考虑一下就会发现它实际上不是特别复杂;在你的网络中的所有系统中,你确实需要彻底地了解你的数据库——其中包括记录哪些进程应该运行,哪些不应该。所以,如果你在第一次安装之后拥有了良好的基线——甚至是现在,假设所有事物都运行得很好——当发生特洛伊类型的问题的时候,你就可以用它作为你比较的基础。
3:查看开放的端口
你可以使用Windows内置的netstat工具来查看哪些端口开放的,并且连接到服务器上。在命令行中,输入netstat –an|more,可以一页挨着一页地查看开放的和监听的TCP和UDP端口。还有一种更好的方法就是使用Foundstone的Vision工具或者Sysinternals公司的TCPView工具来完成。
4:查看你的网络流量
也许判断你的SQL Server中是否发生了恶意行为的最简单办法就是看看它是否进行了网络通信。如果你有一个非常顺手的网络分析器,那么你就可以在1、2分钟之内发现情况。你可以使用SQL Server自身携带的分析器,或者从别处连接到你的以太网交换器的交换或者镜像端口上。
我比较喜欢EtherPeek这个网络分析器,它可以像大多数其它分析器一样捕捉进出你的SQL Server的包。如下图所示,一些跑在TCP端口12345上(通常是NetBus的特洛伊端口)流量就被发现了。
EtherPeek可以轻松抓取网络流量,并且高亮显示特洛伊的动作——在本次网络流量抓取过程中。
你可以真正地创建你自己的网络分析触发器和过滤器,如果你知道要寻找什么的话。这里的列表列出了常见的特洛伊和相关端口的细腻向。这种发现恶意流量的方法并不是十分安全,因为端口号是可以经常更换的,但是它的服务器是个不错的目标。
你可以在“监控”模式下运行Ether Peek,让它对网络上发生的事情有个从上到下的整体视角,——而不需要抓取包。你可以查看正在使用哪个协议,寻找巨大的流量,奇怪的通信,以及其它网络进出你的SQL Server系统的倾向。
5:对付恶意软件的方法
特洛伊木马是计算机上的一个令人厌恶的创造——它创建远程访问隧道,截获按键,删除数据等更多事情——特别是在你最重要的服务器上。很明显,最好的办法就是不用你的SQL Server进行Internet访问,Web浏览,电子邮件等行为。——但是,这不现实。你(或者其他人)可能会需要它最终不仅仅作为一个数据库服务器。一旦这样的事情出现了,你就需要确保你是被保护的。不要把责任推卸给其他人,或者其他任何东西,特洛伊不是运行在他们的系统上。不论以何种方式,永远不要假设你的反病毒软件可以保证你万无一失。
分析并解决恶意软件的方法:如果你想要攻击,或者安装一个可以在网络上给你帮助的欺诈软件,那么没有什么地方比直接在SQL Server上更好了。你的服务器上可能还没有特洛伊,但是如果你感觉到有问题,那么凶手就可以很容易发现。
那些坏人知道,很多服务器都没有针对恶意软件的保护。他们也知道,出于性能和系统在线服务时间的原因,操劳过度的管理员们很难再去在他们的数据库服务器上安装安全软件或者执行某些保护措施。保护你的服务器,并且了解如何以及在哪里寻找问题的起源吧。
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/16436858/viewspace-548720/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/16436858/viewspace-548720/
SQL Server是否有特洛伊木马的测试相关推荐
- Sql Server的弱口令入侵测试以及防范
我之所以要做这样的测试是因为这一切都是有背景的!!!被黑客黑的代价!!!伤心ing..... 背景: 测试: 物理机:Win7 虚拟机:xp 扫描工具(我想我最好不写扫描器的名字比较好): 密码之所以 ...
- 从SQL Server 2000/2005到SQL Server 2008的升级测试
本文部分内容摘自<SQL Server 2008管理实战>,人民邮电出版社:<深入MSSQL 2008升级和应用程序的兼容性>,IT专家网:<SQL Server 200 ...
- PowerShell 2.0 实践(十二)管理 SQL Server 2008 R2(1)
DBA可以使用的工具很多,对于SQL Server来说,有查询分析器.事件探查器.命令行工具等,其中SQL语句是重中之重,但是PowerShell的出现使得DBA又多了一种选择. 测试脚本下载 本系列 ...
- sql server 2008数据复制
SQL Server 2008数据库复制是通过发布/订阅的机制进行多台服务器之间的数据同步,我们把它用于数据库的同步备份.这里的同步备份指的是备份服务器与主服务器进行实时数据同步,正常情况下只使用主数 ...
- SQL SERVER 2012 修改数据库默认位置不立即生效
今天修改SQL SERVER 2012的数据库默认位置:即数据文件.日志文件默认位置时遇到一个问题,单击"服务器属性"(Server Properties)--> 数据库设置 ...
- SQL Server 表和索引存储结构
SQL Server 表和索引存储结构 杜飞 在上一篇文章中,我们介绍了SQL Server数据文件的页面类型,系统通过96个字节的头部信息和系统表从逻辑层面上将表的存储结构管理起来,具体到表的存储结 ...
- [翻译]使用C#创建SQL Server的存储过程(Visual Studio 2005 + SQL Server 2005)
原文地址:http://www.dotnetbips.com/articles/70eff218-3da0-4f6f-8f8d-eeea65193f2c.aspx[原文×××] [翻译]使用C#创建S ...
- 配置 SQL Server 2008 Email 发送以及 Job 的 Notification通知功能
SQL Server 2008配置邮件的过程就不写了,网上的案例太多了. http://www.cnblogs.com/woodytu/p/5154526.html 这个案例就不错. 主要写下配置完后 ...
- sql java驱动程序_Microsoft SQL Server JDBC 驱动程序支持矩阵
本页包含 Microsoft SQL Server JDBC 驱动程序的支持矩阵和支持生命周期策略. Microsoft JDBC 驱动程序支持生命周期矩阵和策略 Microsoft 支持生命周期 ( ...
最新文章
- ESP32 OTA 接口简略说明
- java.lang.NumberFormatException: multiple points错误问题
- java netty swap高_Netty 超时机制及心跳程序实现
- 简述springmvc过程_spring mvc的工作流程是什么?
- 插件设置修改失败_【王者荣耀金牌特权】详细技术设置教程,更新异常解决办法...
- redis主从配置转
- 本地函数定义是非法的_使用函数计算三步实现深度学习 AI 推理在线服务
- docker之基础命令相关操作上
- 【转载】大型网站性能
- 一个域名下多个Vue项目
- 推送数据分析全新升级,优化方向一目了然
- WPF 使用MSCHART 控件代码
- Android可折叠收缩伸展的Expandable分组RecyclerView:模型抽象和封装(二)
- vue实现中英文切换
- ioctl()函数的简单使用——获取本机的IP、掩码、HWaddr
- Pytorch 损失函数 Mean Squared Error
- 计算机1500字论文,当我打开电脑_1500字
- 【Matplotlib绘制图像大全】(三):水平柱状图
- 【elasticsearch】【Kibana】7.6.2版本kibana启动失败master_not_discovered_exception
- 20本英文书点亮你的人生智慧