震驚!!為何伺服器為何頻頻被黑?小白苦不堪言
本來利用空餘時間發布了一個小部落格 沒想到牽出來這麼多麻煩事
最開始我的部落格和資料庫都在阿里雲伺服器上(學生版) 用的也是sqlserver ,但是1核2g實在是不夠玩 ,後來又看到騰訊雲也又類似活動就又在騰訊雲買了一個1核2g,開始是用的windows server簡簡單單裝了個sqlserver完事,剛開始半個月平安無事 就在一個周末 手機突突突收到一堆簡訊
把我人給整懵了,好傢夥趕緊先去重置密碼 ,好日子不長,第二天突突突又來一堆,騰訊雲掃描發現有病毒,嚴重漏洞,沒辦法又上去一看,直接中了勒索病毒文件全都加密,好傢夥我可是記錄了幾天的流水帳了,這可不行,趕緊聯繫客服,也沒招建議我重裝系統,沒辦法硬著頭皮再裝一次,這一次我裝了ContOS 想著這個沒玩過也玩玩,上來先上個Sqlserver,發現我這丐版伺服器還不行,Sqlserver-liunx默認配置記憶體得3g,還好百度一番有法子,窮人家的孩子早當家,一番操作只後也安裝成功連接成功,這次學聰明了,把防火牆,root密碼強度加一加,好歹吃過一次虧了有經驗了,經過一番操作部落格也成功跑起來了,雖然這個過程有點煩,但是在這個過程中也學到了不少。
半個月過去,就在我以為是平安無事了的時候,部落格訪問不了。
二話不說先查日誌
好傢夥又是資料庫來問題了,上去看伺服器狀態也是好的,唯一異常就是cpu給我拉滿,沒法找不出問題先重啟試試,重啟大法果然還是有用的,網站又能進了,我也就沒管了,又過差不多半個月,到了我的寫流水賬日子,發現又出問題了,好傢夥,真不給我省事,趁著有時間就找找問題,伺服器看不出問題,就去程式碼看看,之前有看到一篇文章有說到.net core 連接池的問題,我就趕緊改了改程式碼,抱著最後一絲幻想重新發布。
好景不長,問題又來了,這次還不一樣,查看日誌顯示連接帳號出錯,我心想著,我也沒有改呀,當時正值S10決賽,也沒心思整,去伺服器上把密碼改回來能跑就行,看完決賽我尋思著來看看,好傢夥英魂不散,又來了,這次不把你逮出來。
通過我的一番百度和操作發現我的伺服器又被黑了,查看伺服器日誌和監控發現一個可疑ip來自四川自貢,好一個Script kid,問題也找出來了,應該是我的sqlserver 默認埠和登錄名sa沒改,被他給掃了,查看登錄用戶組發現有一些可疑用戶完蛋,還刪不掉,隨著這條線索繼續,見招拆招,咱雖然懂的不多,但是會百度。
百度一番下來,知道了個大概,沒有找到他的定時任務,是刪除不了的,同時在監控發現一些有用的資訊,顯示被他加了幾個修改密碼的指令。
繼續挖,在msdb表發現這麼幾條數據看了怎麼這麼眼熟 解密看看
最後不管三七二十一先刪除這些job 然後發現可以成功的把用戶名為su2這個刪除 不知道能不能成功 先睡覺了 今天起來發現一切正常 苦,苦不堪言
USE msdb ; GO EXEC sp_delete_job @job_name = N'NightlyBackups' ; GO
可參考文章
//www.cnblogs.com/sheldon-lou/p/13730152.html
//docs.microsoft.com/zh-cn/sql/ssms/agent/delete-one-or-more-jobs?view=sql-server-ver15
