เซิร์ฟเวอร์ของฉันถูกแฮ็กด้วย Mirai Botnet เราทำความสะอาดระบบ ปิดการใช้งานตัวแทนเซิร์ฟเวอร์อย่างสมบูรณ์ และระบบก็เสถียรและสะอาด แต่...

ถ้าฉันเปิดพีซีเซิร์ฟเวอร์ sql นั้นอีกครั้งบนอินเทอร์เน็ต (พอร์ต 1433 ) จะติดไวรัสอีกครั้ง..

ฉันทดลองกับการเข้าสู่ระบบทั้งหมดและพบว่าถ้าฉันออกจากการเข้าสู่ระบบ "BUILTIN\Administrators" นั่นคือสิ่งที่ทำให้บ็อตเน็ตติดไวรัสอีกครั้ง

ลูกค้าที่ติดเชื้อฉันเรียกว่า "Microl Office" ซึ่งมีต้นกำเนิดมาจากพีซีที่ถูกแฮ็กหลายเครื่อง และที่แปลกก็คือมันรับรองความถูกต้องว่าเป็น "NT AUTHORITY\ANONYMOUS LOGON"...

ฉันลบโมเดลและ msdb และคัดลอกโมเดลในเทมเพลตเพื่อทำความสะอาดเซิร์ฟเวอร์ ยังคงสิ่งเดียวกันนี้เกิดขึ้นถ้าฉันออกจากผู้ดูแลระบบ Builtin .. ฉันเดาว่าบอทเน็ตได้เพิ่ม ANONYMOUS LOGON ในกลุ่มผู้ดูแลระบบ

ฉันติดตั้งอินสแตนซ์อื่นและเวอร์ชันอื่นอีกครั้งและยังคงมีสิ่งเดิมเกิดขึ้น ฉันคิดว่าไม่ใช่ปัญหาของ SQL

Login succeeded for user 'NT AUTHORITY\ANONYMOUS LOGON'. Connection made using Windows authentication. [CLIENT: 138.0.224.232]

นอกจากนี้ ถ้าฉันใช้ BUILTIN\Users แทน มันไม่เข้าสู่ระบบ และล้มเหลวโดยมีข้อผิดพลาด "การตรวจสอบการเข้าถึงเซิร์ฟเวอร์ที่ใช้โทเค็นล้มเหลวโดยมีข้อผิดพลาดด้านโครงสร้างพื้นฐาน" ดังนั้น ฉันคิดว่าเมื่อเซิร์ฟเวอร์ติดไวรัสอย่างรุนแรง มัลแวร์ก็เพิ่ม เข้าสู่ระบบแบบไม่ระบุชื่อไปยังกลุ่มผู้ดูแลระบบในตัว

ใครสามารถบอกฉันว่าฉันสามารถเห็นผู้ใช้ที่เพิ่มทั้งหมดในกลุ่มผู้ดูแลระบบได้อย่างไร (และใช่ กลุ่มนี้มีเพียงผู้ใช้ของฉันในฐานะผู้ใช้ผู้ดูแลระบบเมื่อเข้าถึงจากการจัดการคอมพิวเตอร์ )

ใครช่วยกรุณาแนะนำอะไรในเรื่องนั้นได้ไหม ( Windows Server 2003 R2 และ SQL SERVER Enterpise 2005 + 2008 sp1)

ตัวเลือกที่ฉันลอง:

  • ตั้งค่า LSA blockanonymous เป็น 1
  • ตั้งค่า Allowanonymous เป็น 1
  • ปิดการใช้งานการแปล SID
  • ตรวจสอบกลุ่มผู้ดูแลระบบจากการจัดการคอมพิวเตอร์

ใช่ ฉันรู้ว่าเป็นเซิร์ฟเวอร์เก่า ได้รับการพัฒนาสำหรับเว็บไซต์ ASP.NET เฉพาะตั้งแต่ปี 2009 และเราพยายามย้ายข้อมูลแต่ทำงานได้ไม่ดี ดังนั้นเราจึงต้องใช้มัน เราเปิดเผยเฉพาะ RDP และ SQL (1433)

no answer