今天有時間處理下公司的一臺應用服務器,因爲該應用是屬於記錄日誌型應用,非生產應用,所以問題持續很久,一直沒處理.
故障原因如下:
開學沒多久,就一直在給我發郵件,主要就是初中每天凌晨4點過,服務器自動重啓.
開始排查:
1.先是看日誌,
基本就是這種登陸記錄,然後應用程序裏有很多sqlserver的sa登陸信息
額,基本能確定兩件事,
1.服務器已經有人能登陸上
2.數據庫密碼還在被人不停的嘗試,按理說服務器已經拿下,數據庫肯定也沒了,這個優先級差點
先是檢查進程,看下有沒有可疑的後臺,果然
找到個系統用戶SYSTEM運行的frp軟件,文件指向在D盤,並且開機運行...刪除掉...
然後開始加固服務器
先是改登陸密碼,
然後設置賬號安全策略,3次密碼輸錯,禁用5分鐘,5分鐘後才能再嘗試
然後啓用防火牆,各種業務和遠程端口開放
===================================================================
備註:因爲之前這臺服務器是內網服務器,並且內網裏沒有映射出去的服務器,沒有任何防護,並且爲了方便業務操作,所有防護措施都停了,可以理解成內網的開發測試服務器
===================================================================
然後詭異的事情出現了,無法遠程!
先是考慮防火牆問題,停用防火牆,依然無法,內網,外網都無法使用
檢查遠程設置,正確(我處理之前就是遠程處理的)
然後把遠程關了再開,正常
過一會又遠程不了了
搞不懂了,百度了下,把握引導導一個帖子,說改端口.嘗試改了端口,OK,正常了
然後進防火牆,重新做下映射.OK
遠程問題解決了,然後開始打補丁----時間很長,和下一步同時進行
==================================================================================
處理第二個問題,SA爆破問題,可能已經泄露
這個時候業務部門打電話來說,業務報錯,提示sa用戶被鎖定!
===================================================================================
是因爲我做了安全策略的問題,sa賬號試三次密碼就被鎖定
開始在sql裏給對應的業務數據庫開專用賬號(這步應該業務之初就開始做)
開了以後,修改對應的業務配置,把數據庫賬號密碼改成專用賬號,OK
業務正常---------------