Question

查看SQLServer服务器是否被入侵的方法

Answer 1

1、入侵者入侵后一般会开服务器的3389，建立隐藏用户，然后登录。我们只要到C:Documents and Settings这个目录下看看是否有可以的用户名就可以了，不管是不是隐藏的用户，都会在这里显示出来。 2、有些入侵者喜欢留一个有高权限的sqlserver数据库用户，当作后门，我们可以打开登陆sqlserver的查询分析器，然后依次打开master--系统表--dbo.sysxlogins（sqlserver2000下，sql2005和2008下，小王没找到如何查看数据库用户的方法，如果您知道请指点），在这个窗口的name列中可以看到sqlserver数据库的用户，一般情况下会有3个用户，一个是sa，一个BUILTINAdministrators，还有一个是NULL，如果还存在其他用户，就有可能是被人入侵了或者是我上面讲的那些情况，就需要注意点了，当然不一定就那三个用户，小王还见过name下有多个sa和NULL的，但不知道是怎么回事，具体问题还需要具体分析。