谁动了我的奶酪(数据库)_攻击防范实战记录

最新推荐文章于 2024-06-17 14:41:35 发布
最新推荐文章于 2024-06-17 14:41:35 发布
阅读量778 收藏
点赞数
分类专栏: database security 文章标签: 数据库 服务器 数据备份 网络 windows sql

转载于:http://blog.csdn.net/ex_net/article/details/7647930

 

最近几个月,开发团队出现了莫名其妙的问题,开发的服务器经常莫名其妙死机,然后无法启动。由于服务器是Windows2003的系统,然后做了RAID1的阵列。每次死机后,用2003启动盘启动电脑后无法看到那个“该死的阵列”。把硬盘拆到别的电脑上看到的是一个超大分区490多GB,根本无法通过简单的办法把数据拿出来。

心想,反正还有备份,直接格式化重装。。。。

就这样,死机一次,重装一次,被折磨了几个月后,我终于忍不住了,一定要把这个问题查清!

到底什么原因导致了“windows2003的服务器莫名奇妙的死掉”。

首先是怀疑服务器里安装的软件有问题,因为大多是D版的,因此很难判断是不是D板软件里有木马、病毒、恶意程序等。

不过用360、瑞星、金山、卡巴,杀(查)一个遍都没有任何异常发现,不过为了安全起见,我还是费了九牛二虎之力把能换的软件都换成了“开源”或“免费”的了。至少这样应该不会下载到“由毒的软件了吧”

软件是换掉了,没过几天,服务器又死了,真是把我们气疯了。 哪里来的问题呢?不过这次好在好点是发现的及时。

开始2~3分钟,团队内部有人报告“数据突然消失了”,我们里面在MSSQL的查询分析器里输入 select * from 查看,果然所有表的数据【意外消失】了。

3~5分钟后,团队有人报告“数据表突然消失了”,我们立即查看,果然“Table表”全部被“干掉了”。

在接下来的几分钟内,数据库的存储过程、视图、函数、。。。。反正能“消失的”的都消失了。。。。

。。。。慢慢的。。。开始发现D盘、E盘、C盘的文件开始“消失了”。。。。

终于。。。服务器黑屏了。。。。

oh my god!

上帝召唤了。。。。

又一次中招了。。。

我们在一个月内就这样被折腾了几次,结果仔细分析。首先可以排除是自己人干的,比较我对团队所有的成员都是非常的信任,相信他们没有必要这么做。

那么,攻击可能是外部的了。但是我们团队采用的是NAT上网,也就是外面的“黑客”不可能进入到服务器攻击的。

那么,只可能是内部有“肉鸡了”。

想到这里,突然间对所有的杀毒软件、安全助手失望了,,,,,,“枉我那么信任你们,你们居然没有发现------木马、僵尸、病毒。。。。”

因此,我们开始对服务器进行了简单改造,安装了“网络数据包抓包工具”。。。怀着侥幸的心理,希望可以抓到点什么。。。

抓包程序安装完毕了,时间1分钟1分钟的过去了。。。。团队成员还是一如既往的开发着程序。。。。。。

1个小时过去了,大约快到10:30 左右, 我的预感告诉我,【它】可能要来了。。。。突然间,“数据表消失了”。。。。。。。

团队成员异常振奋,【它】来了。。

我以最快的速度把“Capture的数据文件”复制到U盘里,迅速拔离服务器。在1分钟之内完成了,Capture的数据文件复制到我早已经准备好的“笔记本”电脑上了。

就像实验室里发现了新元素,马上开始化学分析一样。。。。

上图是2012年5月2日的那天,劳动节刚刚收假。。

通过“问题的迹象”,我们初步判断,可能和MSSQL数据库的漏洞有关。。。顺着这个思路,我们开始对“样本”进行了分析。果然在13000多行的访问记录里找到“蛛丝马迹”。

通过【发现问题的时间】对应了数据包的日志,我们初步判断,在一时间段与服务打交道的是“TDS协议”,因此进行了tds过滤,把范围缩小。

用tds进行过滤。。。(通过查询相关文档得知的,MSSQL的数据传输协议是tds协议,微软自家的标准)

通过抓包工具,我们深切的发现了MS SQL2005 数据库是相当的不安全,所有的SQL语句在网络上居然是“明文传输”

当然,既然在网络数据包里发现了“sql语句执行的痕迹”,那么会不会有其他发现呢?追随这个思路,我们对数据包记录1行1行的进行查阅。

终于被我们发现了以下内容:

在这1时间段, 192.168.0.20的电脑在发广播,询问 201在哪里。 而201正是我们的“MSSQL服务器”

当然,询问201在哪里,并能作为是“犯罪的证据”。。。

在接下来的数据包分析中, 取得了重大突破。

我们在192.168.0.20 这个电脑上发现了这3个文件,打开后。内容令我们震惊。。。。它居然就是“干掉数据库的”“傻瓜脚本”。

其次,在对数据包的分析中,我们也发现了这个脚本执行的痕迹。。。

上面的系列截图没有贴出,具有破坏力的那3个数据包的截图, 感兴趣的朋友可以自己做实验抓图试试!

结果了1早上的折腾,基本查到了“对方”是怎么攻击我的服务器了。 也知道他耍了什么手段。

不过遗憾的是,没有办法追溯到源头。。。。因为网络里还缺少了“网络日志”服务器。

通过这一次事件,我们吸取到了很多经验、教训!

不过,最最重要的还是“经常做数据备份”!并且“数据备份最好备份到【其它地方】,不要备份在同一个地方”。

zgmzyr
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
数据库攻击linux查看入侵痕迹,CentOS系统通过日志反查是否被入侵
weixin_29717341的博客
05-03 2268
一、查看日志文件Linux查看/var/log/wtmp文件查看可疑IP登陆last -f /var/log/wtmp该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加,该文件的大小也会越来越大,增加的速度取决于系统用户登录的次数。该日志文件可以用来查看用户的登录记录,last命令就通过访问这个文件获得这些信息,并以反序从后向前显示用户的登录记录,last...
谁动了我的奶酪》读书心得优秀___.docx
10-07
谁动了我的奶酪》读书心得优秀___.docx
记录一次做[PolarD&N] MISC题目——谁动了乃怪的数据
m0_74051295的博客
10-15 197
题目名称:MISC-谁动了乃怪的数据tips:polar靶场题目比较新颖,但是在官网看wp需要polar币,且只能通过做题和季度赛获得(/斜眼笑)
SQL注入攻击及其防范检测
花开的声音(Mr’yan的技术集)
07-24 912
 版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://simeon.blog.51cto.com/18680/112244SQL注入攻击及其防范检测技术研究陈小兵 【antian365.com】摘要:本文简要介绍了SQL注入攻击的原理,SQL注入攻
計算機英語
鍵盤農夫
11-29 1万+
英语:飙升的好方法 (转载自 茵茵向荣) 程序员第二定律:量化管理在程序员身上永无可能 软件项目质量保证——编码规范 75道逻辑推理题及答案 第1章 计算机网络概述 第2章 传输媒体 第3章 以太网 计算机网络笔记四 无线局域网 软件项目“免坑”指南 敏捷个人-阅读笔记 现代软件工程讲义 9 测试 QA 的角色和分工 我们需要顶层设计 软件工程师的视角看网络网络那点事)
小白科普:大语言模型 LLM 的工作原理
2401_85280106的博客
06-15 903
最近关于人工智能的所有讨论——它的影响、它引发的道德困境、采用它的利弊——我的非技术朋友之间的讨论很少涉及这些东西是如何工作的。从表面上看,这些概念似乎令人畏惧,掌握大型语言模型 (LLMs) 功能的想法似乎难以逾越。但事实并非如此,这个原理其实任何人都可以理解。因为推动人工智能浪潮的基本原理相当简单。多年来,在运营 Anchor、在 Spotify 领导有声读物以及撰写每周时事通讯的同时,我必须找到为非技术受众提炼复杂技术概念的方法。
《BJBR虚拟仿真解决方案(描述精选)》(Yanlz+SteamVR+5G+AI+VR+AR+MR+HR+BR+CR+DR+ER+FR+GR+人工智能+人机交互+立钻哥哥+==)
热门推荐
VRunSoftYanlz的博客
08-20 2万+
《BJBR虚拟仿真解决方案(描述精选)》 《BJBR虚拟仿真解决方案(描述精选)》 版本 作者 参与者 完成日期 备注 YanlzVR_BJBR_VIP_V01_1.0 严立钻 2019.08...
大模型的 5 月:热闹的 30 天和鸿沟边缘
python12345_的博客
05-30 1713
Mayday” 可直译为 5 月天,它也是国际通用的无线电求助信号。当飞机有坠落危险时,飞行员会对着对讲机大喊 “Mayday”!这个 5 月,可能是 ChatGPT 发布至今大模型行业最热闹的时候:OpenAI、Google、微软、字节跳动、阿里巴巴等中美两国公司至少举办了 13 场与大模型相关的发布会,介绍了 10 多款新模型,拿出了一堆新产品。热闹中的风险与失望是:不少从业者认为技术没有重大进步。
谁动了我的奶酪读后感.doc
03-05
谁动了我的奶酪读后感.doc
谁动了我的奶酪的感悟.ppt
02-27
谁动了我的奶酪的感悟.ppt
解读《谁动了我的奶酪?》.doc
03-03
解读《谁动了我的奶酪?》.doc
关于谁动了我的奶酪读后感5篇___.docx
10-08
关于谁动了我的奶酪读后感5篇___.docx
【redis的基本数据类型】
m0_50116974的博客
06-13 592
压缩列表的基本信息包括压缩列表的大小,压缩列表的长度以及最后一个entry的偏移,之所以要有这个偏移,是为了找到最后一个entry,而每个entry都记录上一个元素的大小,通过计算就知道上一个entry的地址,这样方便的从后向前进行遍历。的结构,其分为两部分,8字节的Redis对象元数据信息,8字节的指针,其中Redis对象的元数据信息存储了类型的LRU信息,真正的编码格式等等,而如果字符串存储的是数字类型,则复用了8字节的指针的位置。的操作,但是当列表的元素非常少的时候,其内部使用。
canal应用
qq_33816292的博客
06-12 165
canal分享模块链接。
【pytest】parametrize获取参数的几种常用形式
weixin_40482973的博客
06-12 340
【代码】【pytest】parametrize获取参数的几种常用形式。
源码编译安装LAMP
潇的博客
06-12 918
LAMP 架构是目前成熟的企业网站应用模式之一,指的是协同工作的一整套系统和相关软件,能够提供动态Web站点服务及其应用开发环境。LAMP是一个缩写词,具体包括Linux操作系统、Apache网站服务器、MySQL数据库服务器、PHP(或Perl、Python)网页编程语言。本章将以源码编译的方式搭建LAMP环境,能够满足企业定制化的需求。在构建LAMP平台时,各组件的安装顺序依次为Linux、Apache、MySQL、PHP。其中Apache和MySQL的安装并没有严格的顺序;
MySQL触发器基本结构
最新发布
2301_80388658的博客
06-17 250
4、for each row 声明每次触发都被执行。create trigger 函数名。3、什么样的操作出发,操作那个表。after:......之后触发。befor:......之前触发。6、歘发起触发后执行代码块。可以修改成$$ //都行。2、创建触发器函数名称。insert:插入被触发。update:修改被触发。delete:删除被触发。
盲盒App开发时有哪些技术框架可以借鉴
bytekj的博客
06-14 651
在开发盲盒App时,可以根据项目需求和团队技术栈选择合适的技术框架。前端可以选择微信小程序框架、React Native或Vue.js等;后端可以选择Node.js或Spring Boot等;数据库可以选择MySQL或MongoDB等。同时,还需要考虑缓存、消息队列、支付和物流接口等其他技术来完善应用的功能和性能。
Python词频统计谁动了我的奶酪
06-06
text = "谁动了我的奶酪,谁拿走了我的快乐,谁偷走了我的未来" words = text.split() word_count = {} for word in words: if word in word_count: word_count[word] += 1 else: word_count[word] = 1 for ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值