mssql遭受攻击：如何调查？（mssql被攻击这么查）

MSSQL遭受攻击：如何调查？

攻击SQL Server是越来越普遍的情况，无论是一次聚集或者是可维护的攻击。我们有必要确认如何正确调查MSSQL遭受攻击的情况。可以从以下几方面开始探究：

首先，应尽可能积极地收集logging信息，包括活动的SQL Server服务器事件，客户端访问Windows日志，网络设备活动，服务器硬件及BIOS，操作系统以及日志以及与之相关的安全产品。特别是拥有Windows防火墙等二叉设备后，收集并定期检查日志信息就非常重要了。

其次，应该仔细调查所有疑似被攻击的数据库服务器，以确定攻击轨迹。可以通过以下方法检查服务器：

1. 应当检查是否启用了常规的管理程序实践，如运行正确的安全策略和安全层。

2. 应当考虑使用基于行的安全，以检查和跟踪访问数据库的所有事务

3. 应当改变数据库服务器的管理账户，以及更改默认管理员账户，确保安全。

4. 在服务器上，应定期扫描以查找木马程序。

最后，对于MSSQL服务器来说，应使用SQL SMO (SQL Server Management Object)脚本，使管理员能够在脚本被执行前进行跟踪，以及在被攻击时以及在被攻击后以确定是否启用了任何未认可的更改。

为此，可通过使用下面的一些SQL SMO脚本来实现：

1. 可使用sp_readerrorlog来检查SQL Server error log，以查看是否有可疑的活动：

“`sql

EXEC sp_readerrorlog

2. 可以使用sp_configure来检查服务器的配置： 

```sql
EXEC sp_configure 

从以上可知，调查MSSQL遭受攻击情况有几个步骤：收集日志，调查数据库服务器，及使用SQL SMO脚本。由于攻击SQL Server是越来越普遍的现象，最好的方法是安装正确的安全程序，并定期审核和扫描，以确保服务器的安全。