检测你的SQL Server是否有特洛伊木马

你也许会想，这看起来也太强了吧——你怎么可能抓住那些载入你的Windows服务器上的东西。你考虑一下就会发现它实际上不是特别复杂;在你的网络中的所有系统中，你确实需要彻底地了解你的数据库——其中包括记录哪些进程应该运行，哪些不应该。所以，如果你在第一次安装之后拥有了良好的基线——甚至是现在，假设所有事物都运行得很好——当发生特洛伊类型的问题的时候，你就可以用它作为你比较的基础。

3: 查看开放的端口

你可以使用Windows内置的netstat工具来查看哪些端口开放的，并且连接到服务器上。在命令行中，输入netstat –an|more，可以一页挨着一页地查看开放的和监听的TCP和UDP端口。还有一种更好的方法就是使用Foundstone的 Vision工具或者Sysinternals公司的TCPView工具来完成。

4: 查看你的网络流量

也许判断你的SQL Server中是否发生了恶意行为的最简单办法就是看看它是否进行了网络通信。如果你有一个非常顺手的网络分析器，那么你就可以在1、2分钟之内发现情况。你可以使用SQL Server自身携带的分析器，或者从别处连接到你的以太网交换器的交换或者镜像端口上。

我比较喜欢EtherPeek这个网络分析器，它可以像大多数其它分析器一样捕捉进出你的SQL Server的包。如下图所示，一些跑在TCP端口12345上(通常是NetBus的特洛伊端口)流量就被发现了。

EtherPeek可以轻松抓取网络流量，并且高亮显示特洛伊的动作——在本次网络流量抓取过程中

你可以真正地创建你自己的网络分析触发器和过滤器，如果你知道要寻找什么的话。这里的列表列出了常见的特洛伊和相关端口的细腻向。这种发现恶意流量的方法并不是十分安全，因为端口号是可以经常更换的，但是它的服务器是个不错的目标。

你可以在“监控”模式下运行Ether Peek，让它对网络上发生的事情有个从上到下的整体视角，——而不需要抓取包。你可以查看正在使用哪个协议，寻找巨大的流量，奇怪的通信，以及其它网络进出你的SQL Server系统的倾向。

5:对付恶意软件的方法

特洛伊木马是计算机上的一个令人厌恶的创造——它创建远程访问隧道，截获按键，删除数据等更多事情——特别是在你最重要的服务器上。很明显，最好的办法就是不用你的SQL Server进行Internet访问，Web浏览，电子邮件等行为。——但是，这不现实。你(或者其他人)可能会需要它最终不仅仅作为一个数据库服务器。一旦这样的事情出现了，你就需要确保你是被保护的。不要把责任推卸给其他人，或者其他任何东西，特洛伊不是运行在他们的系统上。不论以何种方式，永远不要假设你的反病毒软件可以保证你万无一失。

分析并解决恶意软件的方法：如果你想要攻击，或者安装一个可以在网络上给你帮助的欺诈软件，那么没有什么地方比直接在SQL Server上更好了。你的服务器上可能还没有特洛伊，但是如果你感觉到有问题，那么凶手就可以很容易发现。

那些坏人知道，很多服务器都没有针对恶意软件的保护。他们也知道，出于性能和系统在线服务时间的原因，操劳过度的管理员们很难再去在他们的数据库服务器上安装安全软件或者执行某些保护措施。保护你的服务器，并且了解如何以及在哪里寻找问题的起源吧。