今天有时间处理下公司的一台应用服务器,因为该应用是属于记录日志型应用,非生产应用,所以问题持续很久,一直没处理.
故障原因如下:
开学没多久,就一直在给我发邮件,主要就是初中每天凌晨4点过,服务器自动重启.
开始排查:
1.先是看日志,
基本就是这种登陆记录,然后应用程序里有很多sqlserver的sa登陆信息
额,基本能确定两件事,
1.服务器已经有人能登陆上
2.数据库密码还在被人不停的尝试,按理说服务器已经拿下,数据库肯定也没了,这个优先级差点
先是检查进程,看下有没有可疑的后台,果然
找到个系统用户SYSTEM运行的frp软件,文件指向在D盘,并且开机运行...删除掉...
然后开始加固服务器
先是改登陆密码,
然后设置账号安全策略,3次密码输错,禁用5分钟,5分钟后才能再尝试
然后启用防火墙,各种业务和远程端口开放
===================================================================
备注:因为之前这台服务器是内网服务器,并且内网里没有映射出去的服务器,没有任何防护,并且为了方便业务操作,所有防护措施都停了,可以理解成内网的开发测试服务器
===================================================================
然后诡异的事情出现了,无法远程!
先是考虑防火墙问题,停用防火墙,依然无法,内网,外网都无法使用
检查远程设置,正确(我处理之前就是远程处理的)
然后把远程关了再开,正常
过一会又远程不了了
搞不懂了,百度了下,把握引导导一个帖子,说改端口.尝试改了端口,OK,正常了
然后进防火墙,重新做下映射.OK
远程问题解决了,然后开始打补丁----时间很长,和下一步同时进行
==================================================================================
处理第二个问题,SA爆破问题,可能已经泄露
这个时候业务部门打电话来说,业务报错,提示sa用户被锁定!
===================================================================================
是因为我做了安全策略的问题,sa账号试三次密码就被锁定
开始在sql里给对应的业务数据库开专用账号(这步应该业务之初就开始做)
开了以后,修改对应的业务配置,把数据库账号密码改成专用账号,OK
业务正常---------------