如此坑爹
最近刚接手公司的数据库服务器(sql2000),发现IT部的一哥们,偷偷往考勤系统中伪造打卡数据,估计他是破解了我的Sa密码,然后我修改了sa密码,过几天他还跑过来,拐弯抹角的问我sa密码,我当然没告诉他,坑爹的是,过几天他又开始往数据表里写数据。如此反复,我改了几次Sa密码,都没有彻底解决,被那哥们彻底打败,同志们,怎么办?现在领导也知道了这个事情,要求彻底解决,咋整?
------解决方案--------------------sa都能那么容易破解?把sa禁用,改用windows身份验证,并且记录帐号操作信息,拿到证据就好办拉
------解决方案--------------------你的SA密码能被破解?佩服。
------解决方案--------------------禁用sa,另起另外一个跟sa权限一样的帐号,当然你不要告诉他,然后把sqldebug权限降到足够用即可,administrator密码交给IT主管就可以了,然后搞些触发器来监控一下
------解决方案--------------------是不是你的sa密码太简单了?先弄清楚这个sa密码都有些啥用,如果没啥用,就禁用它,然后你自己用其它帐号(给管理员的权限就行)。
------解决方案--------------------你可以不要用sa用户,密码弄到复杂点,用户权限设置好
------解决方案--------------------sa 密码用什么破解....? 求解?
------解决方案--------------------注入攻击了?
------解决方案--------------------确实坑爹,怎么破解啊?
------解决方案--------------------不用sa账号也可以想办法写入吧?
在考勤系统对应的表上做触发器,监控写入数据的用户和写入数据的时间。
写入时间和打卡时间相差太大的即可作为证据
------解决方案--------------------我的建议:
1、创建一个帐号,用于替代sa,密码最好只有你自己知道
2、根据其他系统的需要(比如只需要访问特定的库),创建一个新的帐号,逐个应用系统替换成这个帐号。
3、禁用sa
4、看看2000有没有能监控登录所使用的ip地址
------解决方案--------------------------解决方案--------------------sql server还有一个账户BUILTIN\Administrators ,只要有Local Administrator账户的都可以连接数据库,即使这个账户没有显示的创建。所以你可以看一下这个人是否有Windows管理员权限,如果有的话拿掉。之后修改SA的密码应该就可以了。
如果还是不行的话,我才可能你们有些系统没有做验证,他可以用SQL注入的办法。这种就很难了。但是你可以做一些Profiler Trace来监控SA密码的修改,这样可以找到HOSTNAME或者IPADDRESS,以及应用程序的名称,从而可以找到根本原因。
------解决方案--------------------你再监控一下ip和物理地址什么的,就能定位了
------解决方案--------------------可能是软件有问题,泄露了数据库密码
------解决方案--------------------估计是软件内SQL语句有漏洞,被他注入攻击了。
------解决方案--------------------其他应用程序连数据库的配置文件里是不是有sa密码明文?
------解决方案--------------------这个估计很难防的把,这个数据库服务器和考勤系统的应用服务器放一起吗,要是放在不同的服务器上就很容,通过应用来知道sa的密码是多少,因为大部分的连接文件里都写的明文的sa和用户名密码。
也看得出你的领导,就是让你防止他再往数据库里写数据,不一定要揪出这个人。
------解决方案--------------------这个很有可能是注入攻击,你也提到了有其它软件需要SA帐号,那么他很有可能是通过这些软件实施注入从而绕过SA登录过程,而不是直接攻击。