Возможный дубликат:
Мой сервер был взломан в АВАРИИ
У меня есть взломанная машина, которая пытается несколько сотен подключений в минуту для входа на другие машины с mssql по всему миру. Средство просмотра событий показывает сотни ошибок с кодом события 18456. Вероятно, это делает процесс сетевой службы, ошибка ниже:
Login failed for user 'sa'. Reason: Password did not match that for the login provided. [CLIENT: XXX.XXX.XXX.XXX]
Моя машина пытается войти в другие машины. Ранее я нашел system.exe, который отмечает: «Запуск многопоточного SQLck v1.0.00 Beta9_1 - написан только командами сокета». Он использовал файл паролей .dic для перебора паролей SA на других машинах. Я удалил этот файл из системы, но полагаю, что используется другая копия.
Я не могу установить, какой процесс в MSSQL запускает этот процесс и как я могу его остановить.
Как я могу остановить попытки mssql войти в систему без моего разрешения? Могут быть серверы, на которых необходимо войти (известные хосты), но не эти китайские / бразильские серверы.
Изменить: tl; dr: моя машина используется для грубой силы других серверов. Как мне это остановить?
Это не обязательно SQL-сервер, порождающий попытки входа в систему. Любой компьютер с драйверами ODBC для SQL Server или компонентами клиентского подключения может установить соединение с SQL Server. Я бы запустил Microsoft Network Monitor на сервере, запустил захват, нашел попытки входа в систему и посмотрел на процесс, ответственный за эти попытки в захвате (Microsoft Network Monitor перечисляет процессы, задействованные для всех подключений).