## 環境描述 近期公司伺服器mssql密碼頻繁被改，導致各種業務系統無法連線，報錯。昨天來公司，發現4臺數據庫3臺密碼都變了。今天嘗試著去查查是否能找到問題根源。 ## 步驟 1. 4臺伺服器3臺連不上，只有64還活著  2. 開啟SqlServer Profiler工具監控sql執行日誌，著重關注`Audit Login Change Password`事件。可以看到Microl（不是Micro） office程式 執行了修改密碼的指令。  3. 接著往上找，發現其第一步是執行了@a這個儲存過程，總共4個。   4. 通過[工具](https://www.bejson.com/convert/ox2str/)解析其內容。  5. 通過sql執行exe，然後再用將自己程序kill的方式退出，基本可以判定這個應用不正常。  6. 走到這步可以得出結論，伺服器中毒了。本來想搜一下`psa.exe`，但是一般病毒名字都會用隨機字元處理，感覺搜了也沒用，就沒有搜。 7. 既然中毒了就裝一個防毒軟體殺防毒試試。 8. 首先是查到2個病毒，殺了。（忘記截圖了）以為就好了。 9. 然後在12點42看到一個關於SQLAGENT阻止程序建立的日誌，意識到事情還沒結束。  10. SQLAGENT是什麼？看[這裡](https://docs.microsoft.com/en-us/sql/ssms/agent/sql-server-agent?view=sql-server-ver15)。簡單來說就是一個任務排程器。執行儲存在sql server中的任務的工具。這些任務包括資料備份等。 11. 然後就有個疑問，他要執行什麼任務？查一下。 ```sql select * from msdb.dbo.sysjobs; ```  12. 這些job的建立時間是早上10點21分45秒。第一步裡面，密碼的變更時間也是10點21分45秒，絕對有關係。再看一下之前profiler中抓到的sql日誌。  13. 這些任務都出來了。 14. 沒招了，上網搜尋pdoor.exe碰碰運氣。運氣不錯，一下就出來了。[連結](https://www.secpulse.com/archives/105399.html)  15. 更專業詳細的內容可以看文章介紹。病毒的查殺方案在上面文章中也有。 16. 感慨一下，如果他不來改我們資料庫的密碼，貌似我們也發現不了。換個角度，為什麼他要來改？因為他不曉得我們的密碼。為什麼不曉得我們密碼也能在我們的sql中執行指令碼？因為我們的資料庫是**弱密碼**。為什麼不給改回去，這樣我們就發現不了了？【這是一個問題。】 ## 結論 不要弱密碼，不要弱密碼，不要弱密碼 ### 專殺連結 下載，全盤掃描。 + 64位系統下載連結： http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z + 32位系統下載連結： http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z