В то время как гость виртуальной машины теоретически ничего не "знает" о, это - хост (это обычно даже не знает, что это - даже VM), можно получить информацию о хосте путем простой обработки хоста как просто другая машина в сети с точки зрения гостя. Это предполагает, что гость видит хост в сети.
После того как у Вас есть доступ к сети (и надлежащие учетные данные) к хосту, у Вас есть много опций собрать информацию:
psexec \\host_computer_name ipconfig
Ваш SQL-сервер должен быть publicy доступный Интернету? Это обычно - не случай. Если это абсолютно должен быть этот путь, Вы могли бы ограничить доступ IP-адресом или возможно настроить VPN. Очевидно, сделайте пароль sa неотгадываемым или займитесь ограничением sa местоположения входа в систему только от Ваших IP-адресов LAN. Предоставьте больше подробную информацию, таким образом, другие могут помочь Вам с лучшими решениями.
Первой вещью, которую Вы могли сделать, является запуск путем помещения в черный список того IP-адреса и прямого отклонения ЛЮБОГО трафика от их IP в брандмауэре. Конечно, они могут просто изменить дюйм/с, но самое меньшее он будет мешать им бомбардировать Ваш сервер трафиком и журналами.
Отключите тот порт (MySQL 3306; не вспоминать порт SQL Server, возможно, 118?) через брандмауэр. Затем никто не может получить доступ к нему.
Если вне доступа к SQL необходим, повторно отобразите его на порт с высоким номером, как 53 535. Если кто-либо выяснит, что порт открыт, то будет трудно предположить свое значение.
Вход в систему пытается включить попытки ввести некоторый вредоносный код. Я рекомендую блокировать это действие с постоянным черным списком с помощью или программного обеспечения брандмауэра сервера или третьего лица внешний брандмауэр.
Кроме того, сократите количество позволенных отказов входа в систему, поскольку это автоматически заблокирует IP-адрес злоумышленника.
Выше минимизирует это.
Необходимо ограничить попытки входа в систему, поэтому если тот же пользователь пытается зарегистрироваться больше чем в 5 раз, они заблокированы от дальнейших попыток в течение нескольких часов или дня. По крайней мере затем они не могут грубая сила вход в систему после миллиона попыток.
И как другие сказали, не предоставляйте открытый доступ, если это не необходимо. Можно ограничить доступ к ряду известного дюйм/с, если некоторым людям нужен внешний доступ.
Если Ваш SQL Server должен быть доступным за пределами Вашего netowrk, Вы можете Whiteliste внешние IP-адреса, бывшие нужные в доступе. VPNs являются лучшим решением, (но не всегда доступные), и лучшим решением не является никакой внешний доступ.
Белый список требует большего количества управления, но это удаляет эту глупость. Если кому-то нужен доступ, и у них есть часто изменяющийся IP, то они могут войти в другую систему через RDP и подключение к SQL Server оттуда.
Переименуйте учетную запись sa, создайте поддельную учетную запись sa и отключите ее.
Контрольные полномочия и триггер обновление пароля для всех Учетных записей Пользователя SQL Server; возможно, увеличьте требования надежности пароля.
Перенумеруйте порт прослушивания IP SQL Server. Это означает обновлять клиентские конфигурации или файлы конфигурации приложения.
Я соглашаюсь с другими плакатами относительно вероятных следующих векторов атаки, и это - вероятно, кто-то запускающий скрипт.
Для любого ищущего программу, которая создаст политику IPSec, фильтры, и т.д. и автоматически просканирует журнал событий и добавит IP к черному списку, я записал небольшую программу, которая делает просто это.
У меня была эта проблема также, где мой журнал событий будет заполнен тысячами записей для хакеров, пытающихся входить в мой экземпляр MSSQL с входом в систему 'sa'. После большого поиска я решил записать, что моя собственная программа, чтобы иметь его создают необходимые объекты IPSEC и затем сканируют журнал событий каждые 60 секунд для нападений от новых IP-адресов. Это затем добавляет IP-адрес к фильтру IPSEC и блоки весь трафик к и от IP. Я только протестировал это на Windows Server 2008, но полагаю, что он будет работать над другими версиями также.
Не стесняйтесь загружать программу с помощью ссылки ниже. Пожертвования всегда ценятся с помощью ссылки в контекстном меню taskmanager значка.
http://www.cgdesign.net/programs/AutoBlockIp.zip
Обратите внимание на то, что это только работает на попытки входа в систему SQL с помощью входа в систему 'sa', но я мог изменить его для работы на другие события журнала также. Кроме того, можно просмотреть IP, которые были заблокированы, но Вы продолжите видеть, что некоторые объекты в конечном счете регистрируются, так как программа только работает каждые 60 секунд. Это происходит из-за неспособности удалить единственную запись журнала событий, и я не думал, удаляя весь журнал, будет хорошая идея.
ПРАВОВАЯ ОГОВОРКА - Путем загрузки и установки вышеупомянутой программы, Вы соглашаетесь держать меня безопасный для любого повреждения, потери данных, повреждения или любых других проблем функциональности, следующих из использования упомянутого программного обеспечения. Я протестировал программу в меру своей способности и в настоящее время имею ее работающий на 2 серверах, но Вас попросили использовать на Ваш собственный риск.
Любые вопросы или комментарии, не стесняйтесь связываться со мной использующий форму контакта на моем веб-сайте по www.cgdesign.net
- Chris