Logs SQL Server 2000

[Malenko]

Hola,

tenemos sospechas de que nos han "ejecutado" instrucciones SQL en nuestro servidor, pero no sabemos como ha podido ser. La cuestión es que solo han hecho un "update" de un cliente en concreto...

Estoy buscando información por internet y no encuentro nada que me sirva. He revisado el IIS (sus logs) a ver si había podido ser una inyección de SQL pero no veo nada raro en las peticiones a las páginas.

Una cosa que nos gustaría saber es si es posible saber que instrucción exacta han ejecutado. Guarda SQL Server (2000) algún log de las instrucciones que se han ejecutado? Donde está?

Que pasos me aconsejais a seguir para ver por donde se nos han "colado"? Por cierto, hasta hace unos momentos los puertos de sql server estaban (innecesariamente) accesibles desde internet. Pensaría que podrían haber entrado por ahí pero es demasiado "complicado" para el tipo de clientes con los que tratamos.

Muchas thankius!

[LUK]

De los querys no tengo ni idea, hay log donde te dice cuando inicia el servicio...etc, pero para ver las consultas nidea... y he estado buscando un rato...
Aun asi siemrpe he usado mysql, y las cosas cambian. Lo mas parecido en mysql es un log donde te muestra lso queries que tardan mas tiempo en ejecutarse .

Te recomiendo eso, lo que has dicho, que solo pueda acceder al server sql tu propio servidor web.

[clarinetista]

Mira si te sirve esto que saque de la web de Microsoft:

Herramienta Microsoft SQL Server Audit

Utilice la herramienta Tools } Microsoft SQL Server Audit para realizar una auditoría de seguridad a una instalación de Microsoft SQL server. Esta herramienta le permite testear la vulnerabilidad de la contraseña de la cuenta "sa" (es decir, el administrador raíz), y otras cuentas SQL configuradas en el Servidor SQL. Durante el proceso de auditoria, esta herramienta realiza ataques de diccionario a las cuentas del servidor SQL utilizando las credenciales especificadas en el diccionario 'passwords.txt'. Sin embargo, también puede indicar a la herramienta `SQL Server Audit' para que utilice otros ficheros de diccionario. También puede personalizar su diccionario añadiendo nuevas contraseñas a la lista por defecto.
Para realizar una Auditoría SQL Server:
1. Haga clic en el nodo Tools } SQL Server Audit.
2. Especifique la dirección IP del servidor SQL que desee auditar.
NOTA: Por defecto, esta herramienta comprobará la vulnerabilidad de la cuenta administrador/sa. Si desea realiza ataques de diccionario en todas las demás cuentas de SQL, seleccione la opción `Audit all SQL user accounts' y especifique las credenciales de inicio de SQL Server. Se requieren estas credenciales para autenticarse en el servidor SQL para recoger la lista de cuentas de usuario respectiva.
3. Haga clic en el botón Retrieve para comenzar el proceso.

Tambien dejo un par de links que te pueden resultar utiles:

http://www.todosql.com/

http://www.microsoft.com/downloads/d...4-6CDE4D933600

http://www.microsoft.com/spain/techn...detection.mspx