Portes dérobées Serveur SQL

Sur un serveur client possédant plusieurs bases et instances SQL SERVER 2016 nous avons constaté que le SQL Browser émet du flux internet sortant jusqu'à concurrence de la totalité de la bande passante utilisable.
Toutes navigations WEB s'en trouve donc réduite à peau de chagrin.

Après recherche et analyse nous pensons le serveur infecté par un bot qui fait du crypto minage ou de l'attaque de déni service (ou quelque chose du genre).
Comme évoqué ici sur le forum : https://securite.developpez.com/actu...es-chercheurs/

Une restauration de la VM avant la date présumée d'infection fonctionne normalement.

Quelqu'un a t il été confronté à ce genre de pb ? comment détecté l'origine du code malveillant, afin de l'éradiquer de la machine ?

Ou la seule solution est il de restaurer une sauvegarde

En lien avec la dernière CVE ?

++

Citation:

---

Envoyé par mikedavem

En lien avec la dernière CVE ?

++

---

Peut-être.
Je vais installer la dernière release (de 01/2021) de mon SQL 2012
Et on va voir ensuite.

Ok tiens nous au courant.

En fait elle est téléchargée mais en erreur d'installation suite à d'autres MAJ en cours.
J'ai relancer l'install.
En attente de redémarrage serveur.
D'autres part je viens de voir qu'il y a aussi un SQL 2017, avec sa propre KB pour le même souci

Je vous tiens au courant.

Oui tu as un KB pour les versions 2012 à 2019 si ma mémoire est bonne

++

Restaurer une sauvegarde ne sert a rien, car c'est le moteur qui est en cause.

A +

Citation:

---

Envoyé par SQLpro

Restaurer une sauvegarde ne sert a rien, car c'est le moteur qui est en cause.

A +

---

Je parlais ici de remonter une sauvegarde intégrale de la VM qui contient le SQL Server, avant la contamination.
Dans ce casle moteur est aussi restauré