Мой сервер был взломан с помощью ботнета Mirai, мы очистили систему, полностью отключили агент сервера, и система работает стабильно и чисто, НО ...

Если я снова открою этот сервер sql server в Интернете (порт 1433), он снова заразится.

Я поэкспериментировал со всеми логинами и обнаружил, что если я оставлю логин «BUILTIN \ Administrators», ботнет снова заразит его.

Клиент, который меня заражает, называется «Microl Office», он исходит от различных предположительно взломанных компьютеров, и странно то, что он аутентифицируется как «NT AUTHORITY \ ANONYMOUS LOGON» ...

Я удалил модель и msdb и скопировал те, что в шаблоне, чтобы очистить сервер, но то же самое произойдет, если я оставлю встроенных администраторов ... так что я предполагаю, что ботнет добавил АНОНИМНЫЙ ВХОД в группу администраторов?

Я переустановил другой экземпляр и другую версию, но все равно происходит то же самое, поэтому я думаю, что это не проблема SQL.

Login succeeded for user 'NT AUTHORITY\ANONYMOUS LOGON'. Connection made using Windows authentication. [CLIENT: 138.0.224.232]

Кроме того, если вместо этого я использую BUILTIN \ Users, он не входит в систему и выходит из строя с ошибкой «Проверка доступа к серверу на основе токенов завершилась неудачно с ошибкой инфраструктуры». Поэтому я думаю, что после того, как сервер был серьезно заражен, вредоносная программа каким-то образом добавила анонимный вход во встроенную группу администраторов

Может кто подскажет, как я могу увидеть всех добавленных пользователей в группу администраторов? (и да, в группе есть только мой пользователь в качестве пользователя Admin при доступе из управления компьютером)

Может ли кто-нибудь предложить что-нибудь по этому поводу? (Windows Server 2003 R2 и SQL SERVER Enterpise 2005 + 2008 с пакетом обновления 1)

варианты, которые я пробовал:

  • установить анонимный блок LSA на 1
  • установить allowanoynomous равным 1
  • отключить трансляцию SID
  • проверьте группу администраторов из управления компьютером

Да, я знаю, что это старый сервер, он был разработан для определенного веб-сайта ASP.NET с 2009 года, и мы пытались выполнить миграцию, но не сработали, поэтому мы должны его использовать. Выставляем только RDP и SQL (1433)

no answer