请教一个windows系统被入侵问题，没有头绪，不知道如何处理

choujie1689

系统是windows server2012R2，现在的问题，通过360全盘杀毒没有检查到木马啥的，系统账号也没有异常，没有隐藏账号，数据库端口也做了防火墙限制，其他机器是访问不过来的。目前就是每次改完Sa密码，过一会就不能用了，没有爆破记录（防火墙做了限制外网是不能访问的），但是密码就不对，登录不上去，必须重新用windows身份登录，修改了才能登录，而且系统内很多数据记录被修改了，想知道这种入侵是基于什么方式？必须要重装系统么

lucky66

看看数据库日志，Windows日志，有可能是sql注入，日志没什么发现的话用d盾扫扫看，主要是不清楚你的业务系统，没什么发现的话可以考虑重装

rainisa

sa用户?是sqlserver么，那对应的数据库有没有对外提供服务，如果有的话，那大概率就是SQL注入了。

h7867

针对您描述的情况，系统遭受不明原因的密码更改及数据篡改，可能存在以下几种可能性：

1. **内部攻击**：
   - **权限提升**：攻击者可能已经在本地获得了管理员权限，能够修改系统内的任何账户密码，包括SQL Server的`sa`账户。
   - **恶意软件**：虽然360全盘扫描未发现明显的木马，但有些高级或定制化的恶意软件可能具备免杀技术，不易被常规杀毒软件检测出来，它们可以潜伏在系统中执行恶意操作。

2. **逻辑漏洞利用**：
   - 如果系统存在配置错误或者应用服务的安全漏洞，攻击者可能通过这些漏洞间接修改了数据库密码。
   - 检查是否存在应用层面的后门或者漏洞，比如Web应用程序、中间件等。

3. **物理接触或社会工程学**：
   - 如果有物理访问服务器的机会，攻击者可能直接对系统进行了操作。
   - 社会工程学攻击可能导致合法用户在不知情的情况下泄露了敏感信息。

4. **凭据窃取**：
   - 检查是否有凭证窃取工具或其他形式的键盘记录器，即使防火墙限制了外部访问，内部网络中的攻击仍然可能窃取凭据。

5. **定时任务或持久化机制**：
   - 攻击者可能已经植入了定时任务或使用了持久化机制来定期重置密码。

要解决这个问题，并不一定需要立即重装系统，但建议采取以下步骤进行排查与恢复：

- **深入安全审计**：使用专业安全工具进行全面的安全审计和日志分析，查找可疑活动痕迹。
- **审查系统日志**：查看系统事件日志、SQL Server审计日志、IIS日志等相关日志文件，寻找异常登录、密码更改等记录。
- **禁用非必要的网络服务**：减少暴露的攻击面，只保留必要的网络服务和端口开放。
- **更新补丁**：确保系统和所有应用程序都已打上最新安全补丁。
- **加强账户管理**：对所有账户启用强密码策略，并定期更换；对关键服务账户如`sa`考虑禁用或至少改用更为安全的身份验证方式。
- **增强内网安全**：内部网络间的隔离和访问控制也需要严格审查，防止横向移动攻击。
- **聘请专业安全团队**：如果有必要，可以联系专业的信息安全团队对整个环境进行全面的安全评估和渗透测试。

只有在确定系统已经被深度感染，且无法通过常规手段清理病毒、木马或后门时，才可能需要考虑重装系统和从备份恢复数据。同时，务必备份所有重要数据并确认备份未受污染。

choujie1689

lucky66 发表于 2024-4-12 16:35
看看数据库日志，Windows日志，有可能是sql注入，日志没什么发现的话用d盾扫扫看，主要是不清楚你的业务系 ...

用过D盾，没有扫出啥，如果是注入，也可以修改sa密码么？

choujie1689

rainisa 发表于 2024-4-12 16:16
sa用户?是sqlserver么，那对应的数据库有没有对外提供服务，如果有的话，那大概率就是SQL注入了。

如果是注入，也可以修改sa密码么？

rainisa

choujie1689 发表于 2024-4-12 18:21
如果是注入，也可以修改sa密码么？

能不能修改密码，取决于你使用数据库服务的用户权限设置。

winshaw

改掉默认端口号，再改密码试试

fcwr007

如果用的Windows账号，
可能是Windows账号40天过期
与杀毒软件或者防火墙无关
https://jinshanduba.org.cn/