今天有時間處理下公司的一台應用伺服器,因為該應用是屬于記錄日志型應用,非生産應用,是以問題持續很久,一直沒處理.
故障原因如下:
開學沒多久,就一直在給我發郵件,主要就是國中每天淩晨4點過,伺服器自動重新開機.
開始排查:
1.先是看日志,
基本就是這種登陸記錄,然後應用程式裡有很多sqlserver的sa登陸資訊
額,基本能确定兩件事,
1.伺服器已經有人能登陸上
2.資料庫密碼還在被人不停的嘗試,按理說伺服器已經拿下,資料庫肯定也沒了,這個優先級差點
先是檢查程序,看下有沒有可疑的背景,果然
找到個系統使用者SYSTEM運作的frp軟體,檔案指向在D盤,并且開機運作...删除掉...
然後開始加強伺服器
先是改登陸密碼,
然後設定賬号安全政策,3次密碼輸錯,禁用5分鐘,5分鐘後才能再嘗試
然後啟用防火牆,各種業務和遠端端口開放
===================================================================
備注:因為之前這台伺服器是内網伺服器,并且内網裡沒有映射出去的伺服器,沒有任何防護,并且為了友善業務操作,所有防護措施都停了,可以了解成内網的開發測試伺服器
===================================================================
然後詭異的事情出現了,無法遠端!
先是考慮防火牆問題,停用防火牆,依然無法,内網,外網都無法使用
檢查遠端設定,正确(我處理之前就是遠端處理的)
然後把遠端關了再開,正常
過一會又遠端不了了
搞不懂了,百度了下,把握引導導一個文章,說改端口.嘗試改了端口,OK,正常了
然後進防火牆,重新做下映射.OK
遠端問題解決了,然後開始打更新檔----時間很長,和下一步同時進行
==================================================================================
處理第二個問題,SA爆破問題,可能已經洩露
這個時候業務部門打電話來說,業務報錯,提示sa使用者被鎖定!
===================================================================================
是因為我做了安全政策的問題,sa賬号試三次密碼就被鎖定
開始在sql裡給對應的業務資料庫開專用賬号(這步應該業務之初就開始做)
開了以後,修改對應的業務配置,把資料庫賬号密碼改成專用賬号,OK
業務正常---------------