检测你的SQL Server是否有特洛伊木马
作者:limeinan 发布时间:2009-02-05 15:58:00
你的SQL Server最近是否运行不正常?不,我指的不是我们肯定会遇到的通常的数据库和操作系统问题。我的意思是,你是否经历过服务器的反应迟钝,不稳定的动作,繁重的网络负担,或者是服务器处理或者内存利用率的直线上升?哦,不排除在你的系统中有特洛伊木马。SQL Server与你接触的大多数其它计算机一样,也可以从Internet上访问并下载和安装软件。这些以及其它那些我们每天经常做的事情可能会为特洛伊木马提供安装的途径。看起来很奇怪,但是就服务器而言,感染上病毒是很容易的——特别是当你没有用保护你的终端用户系统那样的方式来保护它的时候。
当你发现你的数据库服务器发生了奇怪的现象,在你花费数不尽的时间试图解决应用程序或者数据库问题之前,应该首先运行如下的测试,看看是否感染了特洛伊病毒。
1:使用恶意软件扫描器
我曾见过有数据库服务器因为怕性能下降或者系统崩溃而不采取,或者采取有限的恶意软件防范措施。很明显,这是要关心的两码事,但是价格是什么?如果你没有安装反病毒软件,那么就尽快弄一个来运行吧。如果需要实时保护的资源太多了,那么就将你的数据库和其它高活动性的目录排除在实时扫描的外面吧。否则,最低限度,你也要安装反病毒软件,然后每隔几天,找个非高峰的时间来扫描本地磁盘。
如果你已经运行了反病毒软件,那么确保它是最新的(那些基于客户端的自动更新和网络管理签名并不是百分百的可靠),并且执行一次全面的系统扫描。不要害怕安装和使用其他供应商的软件——特别是当它涉及间谍软件保护的时候。
2: 查看内存
你可以使用Windows任务管理器来搜索那些看起来就属于恶意软件,或者使用了太多内存或者占用了大量CPU时间的应用程序。我建议你使用Sysinternals公司的Process Explorer(下面高亮显示的NetBus Trojan),因为它提供了运行进程的较多信息,并且以更可靠的方式来杀掉那些不应该的进程。
你也许会想,这看起来也太强了吧——你怎么可能抓住那些载入你的Windows服务器上的东西。你考虑一下就会发现它实际上不是特别复杂;在你的网络中的所有系统中,你确实需要彻底地了解你的数据库——其中包括记录哪些进程应该运行,哪些不应该。所以,如果你在第一次安装之后拥有了良好的基线——甚至是现在,假设所有事物都运行得很好——当发生特洛伊类型的问题的时候,你就可以用它作为你比较的基础。
3: 查看开放的端口
你可以使用Windows内置的netstat工具来查看哪些端口开放的,并且连接到服务器上。在命令行中,输入netstat –an|more,可以一页挨着一页地查看开放的和监听的TCP和UDP端口。还有一种更好的方法就是使用Foundstone的 Vision工具或者Sysinternals公司的TCPView工具来完成。
4: 查看你的网络流量
也许判断你的SQL Server中是否发生了恶意行为的最简单办法就是看看它是否进行了网络通信。如果你有一个非常顺手的网络分析器,那么你就可以在1、2分钟之内发现情况。你可以使用SQL Server自身携带的分析器,或者从别处连接到你的以太网交换器的交换或者镜像端口上。
我比较喜欢EtherPeek这个网络分析器,它可以像大多数其它分析器一样捕捉进出你的SQL Server的包。如下图所示,一些跑在TCP端口12345上(通常是NetBus的特洛伊端口)流量就被发现了。
EtherPeek可以轻松抓取网络流量,并且高亮显示特洛伊的动作——在本次网络流量抓取过程中
你可以真正地创建你自己的网络分析触发器和过滤器,如果你知道要寻找什么的话。这里的列表列出了常见的特洛伊和相关端口的细腻向。这种发现恶意流量的方法并不是十分安全,因为端口号是可以经常更换的,但是它的服务器是个不错的目标。
猜你喜欢
- 近来看论坛上经常有人提问关于如何无刷新,自动更新数据.传统上,我们浏览网页,如果加入最新的数据.只能是等我们重新向服务器端请求时才能显示出来
- 作为一名网站开发WEB前端工程师,对自己开发的网站项目应该尽可能地对其性能进行优化,现在互联网上搜索到的网站性能优化多是翻译转载自 Yaho
- 如何显示数据库里的图片?asp调用数据库中的图片并显示。怎样把数据库里的图片显示出来?我们以gif格式的图片为例,代码如下:showimag
- SQL Server TEXT、NTEXT字段拆分的问题引用的内容:SET NOCOUNT ON CREATE 
- 以下为引用的内容: <html> <head> <title>不刷新页面查询的方法&
- 如何随机显示图片计数器?一切就绪,看看我们的代码:count.asp< html >< head >
- LOAD DATA INFILE '文件地址' INTO TABLE 表名 FIELDS TERMINATED BY
- 是否看见大站的广告都是放在内容中间实现文字环绕的呢,一般普通小站广告只能放在内容开头或者结尾,也许大站的cms系统带这个功能吧,我们小站常用
- 参与测试的浏览器:IE6 / IE7 / IE8 / FF3 / OP9.6 / SF3 / Chrome2操作系统:Windows蓝色理想
- 自动弹出窗口是一个让人讨厌的事情,为什么我们用它来显示我们的调查表呢?用弹出窗口来显示调查表,被认为是达到我们收集访问用户信息的最方便快捷的
- 如何限制重复订阅邮件或投票?一、准备子程序和函数。1、初始化数据,在Session对象中保存两个变量:Sub InitializeFID()
- 复制代码CREATE FUNCTION fGetStrBySplit ( @Source VARCHAR(max), @Index INT,
- show parameter processes; 然后 更改系统连接数 alter system set processes=1000 s
- 本文介绍了几乎所有关于对象的基本概念,什么是对象,如何创建对象,对象的属性的设置和读取,删除属性的方法,构造函数,对象原型,父类,子类,继承
- 使用本文给出的方法就可以制作出一个简单的rss阅读器了。用xmldom方法打开xml文件,如果是本地的没有问题,就是用Server.MapP
- 在Web 开发中,JavaScript的一个很重要的作用就是对DOM进行操作,可你知道么?对DOM的操作是非常昂贵的,因为这会导致浏览器执行
- 为了能够正常使用,先把所提供的global.asa文件放到该应用程序的根目录中。最简单的办法是把global.asa文件放到缺省Web网站的
- 对于中小型个人、企业网站来说,MySQL数据库或许是目前数据库的最完美实施解决方案了。在不变更服务器硬件的前提下,一个经过良好架构,优化后的
- 内容摘要:ASP与存储过程(Stored Procedures)的文章不少,但是我怀疑作者们是否真正实践过。我在初学时查阅过大量相
- 最近一直在“深山老林”中修炼“支付宝新版收银台”,经历了白板设计,视觉设计,前端开发,前后端联调各个阶段。点点滴滴……重点谈谈对交互设计的感