应对黑客攻击SQL SERVER数据库一例

    近日发现挂在外网上的服务器莫名其妙地重启，该服务器目前主要启动了IIS服务，SQL SERVER 服务。远程登录，发现系统反应很慢，有明显的停滞感，打开任务管理器，CPU使用率在基本30%左右。打开事件查看器,在应用程序中发现大量的级别为信息来源为MSSQL$PNCSMS,事件ID为18456，任务类别为登录的记录，几乎24小时不间断，每秒钟有15次个记录，每个记录的内容大体相同，如“用户 'sa' 登录失败。 原因: 找不到与所提供的名称相匹配的登录名。 [客户端: 60.191.144.214]”只不过其中的用户名有时不同，客户端IP地址也会过一段时间（几分钟至几小时不等）变化一次。经查这个IP地址是属湖南、河南等地。

      很显然，有人企图用遍历密码的方法入侵数据库，于是重更名了数据库的sa,将数据库的IP ALL的TCP端口，由默认的1433改为另外一个端口号（所有应用程序都得跟着改连接字符串，痛苦！）。重启服务，跑了一天，再来看事件查看器，再也找不到类似记录，CPU使用率下降至5左右，系统反应明显加快。问题得到圆满解决。

       为了防止黑客遍历系统登录帐户，又将Administrator进行了更名，但更名后，SQL SERVER启动不了了，在服务中找到SQL SERVER ，用新的系统登录帐户对其登录帐户进行了重新设置，重启计算机，SQL SERVER启动成功了。