震惊!!为何服务器为何频频被黑?小白苦不堪言
本来利用空余时间发布了一个小博客 没想到牵出来这么多麻烦事
最开始我的博客和数据库都在阿里云服务器上(学生版) 用的也是sqlserver ,但是1核2g实在是不够玩 ,后来又看到腾讯云也又类似活动就又在腾讯云买了一个1核2g,开始是用的windows server简简单单装了个sqlserver完事,刚开始半个月平安无事 就在一个周末 手机突突突收到一堆短信
把我人给整懵了,好家伙赶紧先去重置密码 ,好日子不长,第二天突突突又来一堆,腾讯云扫描发现有病毒,严重漏洞,没办法又上去一看,直接中了勒索病毒文件全都加密,好家伙我可是记录了几天的流水帐了,这可不行,赶紧联系客服,也没招建议我重装系统,没办法硬着头皮再装一次,这一次我装了ContOS 想着这个没玩过也玩玩,上来先上个Sqlserver,发现我这丐版服务器还不行,Sqlserver-liunx默认配置内存得3g,还好百度一番有法子,穷人家的孩子早当家,一番操作只后也安装成功连接成功,这次学聪明了,把防火墙,root密码强度加一加,好歹吃过一次亏了有经验了,经过一番操作博客也成功跑起来了,虽然这个过程有点烦,但是在这个过程中也学到了不少。
半个月过去,就在我以为是平安无事了的时候,博客访问不了。
二话不说先查日志
好家伙又是数据库来问题了,上去看服务器状态也是好的,唯一异常就是cpu给我拉满,没法找不出问题先重启试试,重启大法果然还是有用的,网站又能进了,我也就没管了,又过差不多半个月,到了我的写流水账日子,发现又出问题了,好家伙,真不给我省事,趁着有时间就找找问题,服务器看不出问题,就去代码看看,之前有看到一篇文章有说到.net core 连接池的问题,我就赶紧改了改代码,抱着最后一丝幻想重新发布。
好景不长,问题又来了,这次还不一样,查看日志显示连接账号出错,我心想着,我也没有改呀,当时正值S10决赛,也没心思整,去服务器上把密码改回来能跑就行,看完决赛我寻思着来看看,好家伙英魂不散,又来了,这次不把你逮出来。
通过我的一番百度和操作发现我的服务器又被黑了,查看服务器日志和监控发现一个可疑ip来自四川自贡,好一个Script kid,问题也找出来了,应该是我的sqlserver 默认端口和登录名sa没改,被他给扫了,查看登录用户组发现有一些可疑用户完蛋,还删不掉,随着这条线索继续,见招拆招,咱虽然懂的不多,但是会百度。
百度一番下来,知道了个大概,没有找到他的定时任务,是删除不了的,同时在监控发现一些有用的信息,显示被他加了几个修改密码的指令。
继续挖,在msdb表发现这么几条数据看了怎么这么眼熟 解密看看
最后不管三七二十一先删除这些job 然后发现可以成功的把用户名为su2这个删除 不知道能不能成功 先睡觉了 今天起来发现一切正常 苦,苦不堪言
USE msdb ; GO EXEC sp_delete_job @job_name = N'NightlyBackups' ; GO
可参考文章
//www.cnblogs.com/sheldon-lou/p/13730152.html
//docs.microsoft.com/zh-cn/sql/ssms/agent/delete-one-or-more-jobs?view=sql-server-ver15
