sqlserver发现在被暴破攻击的处理

最新推荐文章于 2024-04-14 17:54:46 发布
最新推荐文章于 2024-04-14 17:54:46 发布
阅读量200 收藏
点赞数
分类专栏: sql 文章标签: sqlserver 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jxyz3333/article/details/135199862
版权

日常在用的OA数据库发现被爆破中,查看日志有大量的登录失败日志;

Exec xp_readerrorlog 0,1,'Login failed',Null,@begindate,@enddate,'Desc'

建了个存储过程,筛选出所有的攻击ip;

CREATE PROCEDURE ipsearch
	@begindate datetime,
	@enddate datetime
	--@atext VARCHAR(200) output
AS
BEGIN
-- 创建临时表来存储结果
CREATE TABLE #tempTable (adate datetime,
    Name VARCHAR(50),
    atext VARCHAR(200),
)

-- 执行存储过程,并将结果插入临时表
INSERT INTO #tempTable (adate, name,atext)
Exec xp_readerrorlog 0,1,'Login failed',Null,@begindate,@enddate,'Desc' 

-- 查询临时表中的结果
SELECT DISTINCT  REPLACE(SUBSTRING(atext, CHARINDEX('[',atext)+6,15),']','') FROM #tempTable

-- 清理临时表
DROP TABLE #tempTable
END

执行,获得ip列表,然后将查询结果导入到火绒的ip黑名单里直接拒绝访问;

EXEC ipsearch null,null
 

但是过了一段时间发现还是有异常登录,对方会不断地切换ip试图登录,我的端口和账户都不好改,所以换一个思路;

--查询历史登录里登录过sqlserver的ip,然后在防火墙里将这些ip设置在1433的允许ip里,就可以阻止其他ip对1433的登录请求了
SELECT distinct C.CLIENT_NET_ADDRESS 
    FROM sys.sysprocesses S, sys.dm_exec_connections C 
    WHERE S.spid = C.SESSION_ID; 
    

然后又过了几天,发现没有登录失败的日志了,问题应该暂时解决了;

jxyz3333
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQLServer遭遇入侵
sswh
05-02 469
本来正在使用Eclipse的断点调试结合事件探查器观察一些SQL语句的执行, 突然发现很奇怪的现象,在没有执行任何语句的时候,事件探查器不断打印出SQLServer服务器的执行记录。 粗看一下,发现这样的语句: [code="sql"] select * from openrowset('microsoft.jet.oledb.4.0',';database=ias\ias.mdb',...
在公共网络被isql病毒远程攻击——电脑上启用SQL服务器和Guest用户的同学们注意
xzhenhuan的专栏
05-09 1149
<br />交待一下背景:最近在做毕业设计,笔记本上开启了Guest用户和SQLserver,这两个嫌疑最大。<br />本次被入侵的原因可能是以下之一:<br />1、             SQLserver进程可以被侵入(上网搜:isql 病毒)。<br />2、    Guest用户没有加密码,也许被对方远程扫描到了,通过telnet登录了我的电脑(这个原因的可能性不大)。<br /> <br />被侵入的过程如下:<br />首先,360提醒我,有一个进程(其实这个是伪装的攻击)修改了注册表,增
[学习记录]内网应急实验——对SQLServer数据库弱口令爆破事件进行日志分析
最新发布
渗透为止的博客
04-14 251
SQLServer遭到弱口令爆破进行日志分析
防止对SQL Server的蛮力攻击
寒冰屋的专栏
07-19 816
目录 介绍 背景 使用代码 备注 介绍 有时,您需要将SQL服务器暴露给internet,从而允许在不使用VPN的情况下从任何IP地址连接,从而降低SQL服务器被不需要的客户机攻击的可能性。通过检测失败的登录并阻止其IP地址一段时间,您很有可能让它们继续攻击另一台服务器。此代码创建防火墙规则,以阻止攻击者几次尝试。 背景 有一种解决方案是为每个应该被阻止的IP地址创建了一个防火墙规则,当阻止列表中有成百上千个地址时,这使情况变得一团糟。我的解决方案创建IP地址块(可配置),并将防火墙规则列表
你的SQLServer服务器安全吗?
maxiaoqiang1的专栏
03-18 685
<br />本文只做技术交流,请勿用于非法用途,出现任何问题,本人概不负责。<br /><br />先说一件事吧,去年同事的一台笔记本电脑装的xp系统,三番几次被人增加系统用户,用户名都internetusers,问问同事的笔记本电脑最近都做什么了,答复是一家软件公司给安装了一套数据库软件,这下基本明白怎么回事了,因为同事的登陆界面已经不显示administrator这个用户名了,按了2次重启键,用administrator用户登录到系统,看到了sqlserver的运行图标,打开查询分析器,用sa登录,密码
避免SQL SERVER频繁遭受攻击的方法
互联网-从零开始
10-10 2778
之前SQL Server频繁遭受攻击,后来索性就把远程访问给关闭了,但是这样就造成有些只能使用TCP/IP访问SQL Server的程序无法使用数据库,比如使用JDBC连接SQL Server的方式就无法使用了。所以最好的办法就是修改SQL Server的默认端口号为其他号。自从修改成其他号之后,用netstat /ano查看端口的连接情况,就再也看不到乱七八糟的连接了。
有关sqlserver帐号被禁用的处理方法
09-09
- 关闭sqlcmd,然后在命令提示符中再次启动SQL Server服务,但这次不带/m参数,即 `net start SQLServer实例名`。 - 现在,你可以使用新创建的kk账户登录SQL Server Management Studio (SSMS),然后通过企业管理器...
SQLserver存储过程异常处理.txt
04-12
SQLserver存储过程异常处理
SQL Server日志文件不断增长处理方法
12-14
 SQLServer定时执行(Checkpoint),保证“脏页”被写入硬盘。没做Checkpoint的,可能是只在内存中修改,数据文件还没同步。SQLServer要在硬盘的日志文件中有记录,一边异常重启后重新修改。  2、所有没有提交...
SQL Server 异地备份到远程共享文件夹异常处理
12-14
说明通过SQL SERVER访问远程地址出现异常,虽然本地系统已经可访问该共享文件夹 解决方案: 1、解锁 SQL SERVER “xp_cmdshell”命令 打开SQL SERVER 新建查询窗口 -- 允许配置高级选项 EXEC sp_configure 'show ...
SQL事件查看器日志 攻击日志
03-19
请大家分析一下,我觉得好些SQL不是我程序执行的 怎么办
SQLdict 2.1 sql server密码爆破
04-25
SQLdict 2.1 sql server密码爆破,SQLdict 2.1 sql server密码爆破,SQLdict 2.1 sql server密码爆破,
实际sql攻击案例及解决方案
yangjiehuan的专栏
04-16 1193
sql攻击,无非就是代码写的不严谨,或者就是开源代码惹的祸。     今 天遇到一个问题,发现某个表的数据无法读取,例如user表,于是进了数据库,开始和hack的战争之路。 1. 首先进去数据库查看这个表是否正常,例如user表,select count 2. 一般都是异常的,然后调用命令 show processlist,这是个查看进程的,如果你发现很多waiting 和sleep信息
防止SQL攻击的解决方案
weixin_58759167的博客
07-05 788
什么是SQL注入攻击 SQL注入攻击产生的原因:Statement传输器在发送SQL到数据库执行时,是直接将SQL语句和参数拼接在一起由于后台的SQL语句是拼接而来的。而其中的参数是由用户提交的,如果用户在提交参数时,在其中掺杂了一些SQL关键字或者特殊符号(比如,or # --),就可能会导致SQL语句的语意发生变化。从而执行一些意外的操作(在不知道密码的情况下也能登陆,甚至在不知道用户名和密码的情况下也能登陆),这就是SQL注入攻击。 如何进行SQL注入攻击 1.数字注入 注入or 1=1 .
sqlserver--Login failed for user ‘sa‘. 原因: 密码与所提供的登录名不匹配(数据库被黑客攻击
VIP_CR的博客
08-08 9210
问题: Login failed for user ‘sa’. 原因: 密码与所提供的登录名不匹配。导致Sql Server 的ErrorLog文件过大40多G… 出现的情况: 我们 解决办法有2个: 1、防火墙禁用远程登录端口1433规则,缺点是这样操作无法远程访问 2、修改远程登录端口1433值 https://blog.csdn.net/zgphacker2010/article/details/84920149?utm_medium=distribute.pc_relevant_t0.none-t
攻击后为什么要换服务器ip
abbe1809927446的博客
04-11 610
在当今互联网的环境下,服务器攻击已经成为一个常见的问题。攻击者通过不断尝试破解服务器的安全防线来获取敏感信息或者访问服务器。如果服务器遭到攻击,换IP地址被认为是一个解决安全问题的有效方法。在这篇文章中,我们将探讨为什么在受到攻击后要更换服务器IP地址,并且深入了解这种做法背后的原因。 首先,需要明确的是攻击者在攻击服务器时会获取服务器的IP地址。攻击者可以利用这个IP地址来进行不同形式的攻击,例如DDoS攻击等。如果您的IP地址已知,攻击者可以使用特殊的工具来发起攻击,让您的服务器陷入瘫痪状态。这可能会导
msyql数据库攻击处理思路
cke63021的博客
12-26 86
收到报错: 内存表'pvlogs' is full问题 11:36:31,088 WARN ~ SQL Error: 1114, SQLState: HY000 11:36:31,08...
sqlserver爆破
11-12
以下是使用Hydra工具进行SQL Server爆破的示例: ```python hydra -l <用户名> -P <密码字典路径> <目标IP> mssql ``` 例如,如果要使用用户名“sa”和密码字典“/root/top100_vn.txt”对IP地址为“192.168.8.5”...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值