如此坑爹
最近刚接手公司的数据库服务器（sql2000），发现IT部的一哥们，偷偷往考勤系统中伪造打卡数据，估计他是破解了我的Sa密码，然后我修改了sa密码，过几天他还跑过来，拐弯抹角的问我sa密码，我当然没告诉他，坑爹的是，过几天他又开始往数据表里写数据。如此反复，我改了几次Sa密码，都没有彻底解决，被那哥们彻底打败，同志们，怎么办？现在领导也知道了这个事情，要求彻底解决，咋整？
------解决方案--------------------
sa都能那么容易破解？把sa禁用，改用windows身份验证，并且记录帐号操作信息，拿到证据就好办拉
------解决方案--------------------
你的SA密码能被破解？佩服。
------解决方案--------------------
禁用sa，另起另外一个跟sa权限一样的帐号，当然你不要告诉他，然后把sqldebug权限降到足够用即可，administrator密码交给IT主管就可以了，然后搞些触发器来监控一下
------解决方案--------------------
是不是你的sa密码太简单了？先弄清楚这个sa密码都有些啥用，如果没啥用，就禁用它，然后你自己用其它帐号（给管理员的权限就行）。
------解决方案--------------------
你可以不要用sa用户，密码弄到复杂点，用户权限设置好

------解决方案--------------------
sa 密码用什么破解....？ 求解?

------解决方案--------------------
注入攻击了？
------解决方案--------------------
确实坑爹，怎么破解啊？
------解决方案--------------------
不用sa账号也可以想办法写入吧？
在考勤系统对应的表上做触发器，监控写入数据的用户和写入数据的时间。
写入时间和打卡时间相差太大的即可作为证据
------解决方案--------------------
我的建议：
1、创建一个帐号，用于替代sa，密码最好只有你自己知道
2、根据其他系统的需要（比如只需要访问特定的库），创建一个新的帐号，逐个应用系统替换成这个帐号。
3、禁用sa
4、看看2000有没有能监控登录所使用的ip地址
------解决方案--------------------

------解决方案--------------------
sql server还有一个账户BUILTIN\Administrators ，只要有Local Administrator账户的都可以连接数据库，即使这个账户没有显示的创建。所以你可以看一下这个人是否有Windows管理员权限，如果有的话拿掉。之后修改SA的密码应该就可以了。

如果还是不行的话，我才可能你们有些系统没有做验证，他可以用SQL注入的办法。这种就很难了。但是你可以做一些Profiler Trace来监控SA密码的修改，这样可以找到HOSTNAME或者IPADDRESS，以及应用程序的名称，从而可以找到根本原因。
------解决方案--------------------

引用:

Quote: 引用:

不用sa账号也可以想办法写入吧？
在考勤系统对应的表上做触发器，监控写入数据的用户和写入数据的时间。
写入时间和打卡时间相差太大的即可作为证据

我也是这么干的，跟踪那家伙有一段时间了，领导也知道这个情况，现在领导要我彻底搞定他，急啊！sa暂时还不能禁用，还有些其他系统也是使用Sa连接（这个历史遗留问题也很坑爹的）。同志们，急啊急！

你再监控一下ip和物理地址什么的，就能定位了
------解决方案--------------------
可能是软件有问题，泄露了数据库密码
------解决方案--------------------
估计是软件内SQL语句有漏洞，被他注入攻击了。
------解决方案--------------------
其他应用程序连数据库的配置文件里是不是有sa密码明文？
------解决方案--------------------
这个估计很难防的把，这个数据库服务器和考勤系统的应用服务器放一起吗，要是放在不同的服务器上就很容，通过应用来知道sa的密码是多少，因为大部分的连接文件里都写的明文的sa和用户名密码。

也看得出你的领导，就是让你防止他再往数据库里写数据，不一定要揪出这个人。


------解决方案--------------------
这个很有可能是注入攻击，你也提到了有其它软件需要SA帐号，那么他很有可能是通过这些软件实施注入从而绕过SA登录过程，而不是直接攻击。