Mais conteúdo relacionado
SQL PASS Taiwan 七月份聚會-4
- 2. 情況描述
發現 OO 伺服器遭駭客入侵,經追蹤後得知為XX
系統的資料叢集伺服器,於SQL Server.exe目錄
植入異常程式
查到曾有資料透過80埠丟到韓國IP位置,爾後駭
客曾經刻意造成網路癱瘓,目前還無法得知攻擊
目的。現已透過防火牆與網路設備鎖定IP與伺服
器的MAC Address,並將部分伺服器的80 port關
閉,以防止進一步的攻擊事件
因伺服器受駭故無法信任伺服器之安全,故希望
檢測了解目前資料庫,確保內部資料是否安全無
疑
7/19/2013 | T-SQL Enhancements in SQL Server 20122 |
- 4. 是否有異物
SQL Server Agent Job 排程
登入、使用者、角色
角色內成員
master、msdb 等系統資料庫是否有新增異常
物件
是否有在 SQL Server 啟動時,自動執行的預存程
序
駭客可能以通用有意義的物件命名。DBA 要
有個伺服器與 DB 內物件的資料字典
7/19/2013 | T-SQL Enhancements in SQL Server 20124 |
- 5. 最小防護面
介面組態設定
常遇到的:
xp_cmdshell
AcHocRemoteQueries
僅給予 Service Account 所需的權限
停用不必要的服務,刪掉不必要的物件
7/19/2013 | T-SQL Enhancements in SQL Server 20125 |
- 7. 稽核與監控
SQL Server:啟用SQL Server 安全性稽核
監控近期是否有嘗試登入 SQL Server 但失敗的情
況
進行高權限的命令執行動作,例如在Server或DB
上進行CREATE、ALTER或DROP物件,及
GRANT、REVOKE或DENY登入者權限等
檢查 SQL Server Log、Windows Event Log
是否有異常
購置第三方工具
7/19/2013 | T-SQL Enhancements in SQL Server 20127 |