SQL Server автономно регистрируется на серверах [дубликат]
Возможный дубликат:
Мой сервер взломан Чрезвычайная ситуация
У меня есть взломанная машина, которая пытается установить несколько сотен соединений в минуту для входа в другие машины mssql по всему миру. Event Viewer показывает сотни ошибок Event ID 18456. Это, вероятно, процесс сетевой службы делает это, ошибка ниже:
Login failed for user 'sa'. Причина: Пароль не совпадает с паролем для предоставленного логина. [CLIENT: XXX.XXX.XXX.XXX]
Моя машина пытается войти на другие машины. Ранее я находил system.exe, в котором было написано "Running Multi-Thread SQLck v1.0.00 Beta9_1 - written in only socket commands". Он использовал файл .dic с паролями для перебора паролей SA других машин. Я удалил этот файл из системы, но полагаю, что используется еще одна копия.
Я не могу установить, какой процесс в MSSQL запускает этот процесс, и как я могу его остановить.
Как я могу остановить mssql, пытающийся войти в систему без моего разрешения? Может быть, есть серверы, на которые ему нужно войти (известные хосты), но не эти китайские/бразильские серверы.
Edit: tl;dr: моя машина используется для грубой силы на других серверах. Как мне это остановить?
Не обязательно, что SQL-сервер порождает попытки входа в систему. Любой компьютер с драйверами ODBC для SQL Server или компонентами клиентского подключения может установить соединение с SQL Server. Я бы запустил Microsoft Network Monitor на сервере, запустил захват, нашел попытки входа в систему и посмотрел на процесс, ответственный за эти попытки в захвате (Microsoft Network Monitor перечисляет процессы, задействованные для всех подключений).