服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 我应该怎么做有关试图暴力尝试login到我们的SQL Server的“sa”帐户的人?
Intereting Posts
无法访问OpenVPN服务器背后的LAN设备 select哪个Memcache版本 Linux中的哪个程序可以随时测量I / O? Debian在/ etc / network / interfaces中不起作用 我可以将事件从Splunk 3转发到Splunk 4吗? LVM上的ext4_orphan_cleanup错误 如何使用卷影复制来进行备份 在域名转移名称服务器没有被传播的27天后 什么是从云中提供大量小静态文件的好方法? 我如何获得HAProxy后端包含path 如何进行SCVMM 2008 R2的修复安装? 如何通过WDS部署Bitlocker 由于ADclosures,本地用户被禁用,无法login到服务器 木偶:是否有可能使用file_linetypes删除多行? “正在使用的逻辑卷” – 无法删除逻辑卷

我应该怎么做有关试图暴力尝试login到我们的SQL Server的“sa”帐户的人?

看起来像某人或某事正在尝试用'sa'帐户login到我们的生产SQL Server实例的蛮力尝试。 他们没有成功,因为我们的'sa'帐户被禁用,但我应该采取什么步骤来确保事情是安全的?

登录尝试

你的SQL服务器需要公开提供给Internet吗? 通常情况并非如此。 如果绝对必须这样,你可以通过IP地址来限制访问,或者build立一个VPN。 显然,使sa密码无法猜测或看到只限制您的局域网IP地址的salogin位置。 请提供更多的细节,以便其他人可以帮助您更好的解决scheme

你可以做的第一件事就是把这个IP地址列入黑名单,然后在你的防火墙上直接拒绝来自IP的任何stream量。 当然,他们可能只是改变IP,但至less它会阻止他们用stream量和日志轰炸你的服务器。

通过防火墙禁用该端口(MySQL是3306;不要撤回SQL Server的端口,也许118?)。 那么没有人可以访问它。
如果需要外部访问SQL,请将其重新映射到高编号的端口,如53535.如果有人发现该端口是开放的,将很难猜测其意义。

login尝试涉及尝试注入一些恶意代码。 我build议使用服务器的防火墙软件或第三方外部防火墙,通过永久黑名单阻止此活动。

此外,减less允许login失败的次数,因为这将自动阻止入侵者的IP地址。

以上将尽量减less此。

这可能只是一些脚本小子运行扫描仪,不值得你的时间追求。 我会看看没有你的数据库访问互联网。

  • 如果可以,请禁用所有SQL帐户访问权限,而不仅仅是sa – 即仅启用Windows身份validation,而不使用SQL身份validation。
  • 限制networking访问 – 通过防火墙,或者至less是IP限制 – 到只需要访问的服务器。 公共用户不需要直接访问,对吧?
  • 考虑到他可能会尝试bruteforcing本地pipe理员用户,下一步。 虽然您不能真正删除pipe理员的权限,但可以将其删除到特定angular色并明确阻止访问权限。
  • 如果可以,请禁用SQL Server Browser服务。 没有理由让事情变得更简单
  • 对数据库上的用户,权限和密码进行完整的分析 – 他们可能会尝试下一个用户。
  • 试试在ITSecurity.SE上再次询问这个更多的信息:)

如果您的SQL Server必须可以在您的netowrk之外访问,则可以对需要访问的外部IP地址进行白名单。 VPN是一个更好的解决scheme(但并不总是可用),最好的解决scheme是没有外部访问。

白名单需要更多的pipe理,但它消除了这种愚蠢。 如果有人需要访问并且他们的IP经常变化,那么他们可以通过RDPlogin到不同的系统,并从那里连接到SQL Server。

重命名sa帐户,创build一个伪造的sa帐户,并禁用它。

审核所有SQL Server用户帐户的权限并触发密码更新; 也许增encryption码强度要求。

重新编号SQL Server IP侦听端口。 这意味着更新客户configuration或应用程序configuration文件。

我同意其他海报关于可能的下一个攻击媒介,这可能是有人在运行一个脚本。

您应该限制login尝试,所以如果同一用户尝试login超过5次,则会被阻止进一步尝试几个小时或一天。 至less在一百万次尝试之后,他们不能强行login。

和其他人一样,如果没有必要,不要让公众进入。 如果有些人需要外部访问,您可以限制对一组已知IP的访问。

对于任何想要创buildIPSEC策略的程序,filter等等,自动扫描事件日志并将IP添加到阻止列表中,我写了一个小程序。

我也有这个问题,我的事件日志将充满成千上万的黑客试图login到我的MSSQL实例与'萨'login条目。 经过多次search,我决定编写我自己的程序,创build必要的IPSEC项目,然后每60秒扫描一次事件日志,以查找来自新IP地址的攻击。 然后,它将IP地址添加到IPSECfilter,并阻止所有来往于IP的stream量。 我只在Windows Server 2008上testing过,但相信它也可以在其他版本上运行。

随意使用下面的链接下载程序。 通过任务pipe理器图标的右键菜单中的链接总是赞赏捐赠。

http://www.cgdesign.net/programs/AutoBlockIp.zip

请注意,这只适用于使用'sa'login的SQLlogin尝试,但是我可以修改它以适用于其他日志事件。 此外,您可以查看已被阻止的IP,但由于该程序每60秒运行一次,因此您将继续在事件日志中看到一些项目。 这是由于无法删除单个事件日志条目,我不认为删除整个日志将是一个好主意。

免责声明 – 通过下载和安装上述程序,您同意对由于使用上述软件而导致的任何损坏,数据丢失,损坏或任何其他function性问题,不承担任何责任。 我已经尽最大努力testing了这个程序,目前它已经在两台服务器上运行了,但是你已经被警告过使用,风险自负。

如有任何问题或意见,请随时通过我的网站www.cgdesign.net与我联系

-克里斯