事情起因,公司有臺服務服務器中過一次未遂的勒索病毒(及時發現,被查殺終止了),服務器上安裝了最新的補丁和360殺毒全套。最近使用正常,唯有查windows 日志,每天定期有一次這樣的攻擊,使用的本機ip,攻擊時間也就不到一分鐘,每秒發送大量如下圖的記錄
全盤查了,也沒找到是在哪攻擊的,請問,這種情況,怎么排查?
uj5u.com熱心網友回復:
系統 windows 2012 sqlserver 2008uj5u.com熱心網友回復:
可能是定時任務之類的uj5u.com熱心網友回復:
從127登錄就有點騷,看一下定時任務(不過這種辦法太傻了一般不會),核心還是看一下行程,有什么奇怪的行程,特別是powershelluj5u.com熱心網友回復:
可能的原因:1、機器未查殺干凈,仍有木馬程式
2、機器有定時任務,登錄資料庫執行一些操作(如備份任務)
3、機器有特定的程式,登錄資料庫執行一些操作(如更新某些資料)
uj5u.com熱心網友回復:
看了下最近幾天的,時間并沒有特別的規律
uj5u.com熱心網友回復:
禁用sa 改1433埠也試過,還有出現,不過日志變為下面這種提示用戶 'sa' 登錄失敗。原因: 該帳戶被禁用。 [客戶端: <named pipe>]
uj5u.com熱心網友回復:
sa 都禁用了,你還怕啥?麻煩的是攻擊ip 是本機。
先查本機正常的作業,定時任務有無用到sa
如果沒有,再查行程。
可能是病毒或木馬。
轉載請註明出處,本文鏈接:https://www.uj5u.com/shujuku/188468.html
標籤:疑難問題
上一篇:怎么處理下一行資料用上一行的差
下一篇:MATLAB求助