xp安装了360安全套装+comodo防火墙，但还是被入侵了。

gsjdgh1

如题，xp安装了360安全套装+comodo防火墙，但还是被入侵了。

具体情况如下：工控机，xp系统，IE8.0，用来做服务器，双网卡，一个内网IP，一个外网IP，都是固定IP；

安装了SQL server 2008企业版；

c/s访问模式，设备数据通过公网IP进入服务器数据库，客户端通过访问内网IP进行数据查询；

3个用户：1，sa，Administrator，均为管理员组，均为强密码。当前用户是sa，guest账户未开启；

简单的做了些安全设置，如关闭server服务，取消文件与打印机共享协议，禁用TCP/IP上的NetBIOS，禁止匿名账户枚举，关闭135端口；

360安全套装防护全部开启正常，并且通过360把所有的漏洞补丁全都打上了；

COMODO防火墙设置为安全模式，COMODO防火墙日志里显示许多外部IP的4445端口访问本机的135端口，不过都被拦截了；

但是还是被人入侵，添加了一个“luolei$”的隐藏用户，上传了一个“newrat.exe”的木马病毒到c:\windows目录下，不过被360给杀了；

请教一下高手，是通过什么漏洞入侵的，该怎么防范？

会不会是SQL的漏洞？


======================================================================================

360安全套装扫描完全正常，但是打开IE时，360xp盾甲提示黑客rop攻击，

程序：C:\Program Files\Internet Explorer\iexplore.exe;

那个newrat.exe也是通过C:\Documents and Settings\sa\Local Settings\Temporary Internet Files\content.ie5\下传进来的。

用360杀毒对iexplore.exe扫描，没有报有毒啊。

把IE8卸了，换回IE6，正常，重装IE8，故障依旧，这到底是怎么回事？

一个笨鸟

SQL server用的是动态端口吗？如果是死的1433端口，禁止本机之外的IP访问1433。

有妖气

复制粘贴的时候，能不能稍稍的编辑一下？

gsjdgh1

一个笨鸟 发表于 2015-3-27 11:59
SQL server用的是动态端口吗？如果是死的1433端口，禁止本机之外的IP访问1433。

如何在COMODO里设置禁止本机之外的IP访问1433端口？

对数据库不是很了解，如果设置禁止本机之外的IP访问1433端口，会不会影响客户端对数据库的访问？

另外会不会影响公网设备数据的采集？

ELOHIM

用那么多管理员账户干嘛呀，SQL 2008的补丁用windows update都打好了，组策略禁止Temporary Internet Files这个文件夹运行高危程序。

1433，，系统防火墙就可以做到了，COMODO当然也可以。
话说，你是怎么发现被入侵的？

gsjdgh1

ELOHIM 发表于 2015-3-27 16:51
用那么多管理员账户干嘛呀，SQL 2008的补丁用windows update都打好了，组策略禁止Temporary Internet Files ...

怎么设置组策略禁止Temporary Internet Files这个文件夹运行高危程序？还有怎么禁止1433端口？

是在登陆界面下发现入侵的，有一个“luolei$”的用户，进入系统后，360提示有一个“newrat.exe”病毒。

针对我的情况，该如何做好防护工作呢？

xp系统，数据库是SQL server 2008，对数据库不是很了解，如果设置禁止本机之外的IP访问1433端口，会不会影响客户端对数据库的访问？

ELOHIM

我就是看你说的以后瞎说的，具体怎么操作我也不知道。
小白一枚，对不起了……
等大神翩翩起舞！~
@明月丶舞白衣

明月丶舞白衣

ELOHIM 发表于 2015-3-27 18:50
我就是看你说的以后瞎说的，具体怎么操作我也不知道。
小白一枚，对不起了……
等大神翩翩起舞！~

我也不会 用组策略可以关闭端口

胡小龙军

如果你确定是1433或1434端口被攻击了，你可以在毛豆防火墙的全局规则中设置