Что я должен сделать о ком-то пробующем к попытке грубой силы войти к нашему SQL Server 'sa' в учетную запись?

Первой вещью, которую Вы могли сделать, является запуск путем помещения в черный список того IP-адреса и прямого отклонения ЛЮБОГО трафика от их IP в брандмауэре. Конечно, они могут просто изменить дюйм/с, но самое меньшее он будет мешать им бомбардировать Ваш сервер трафиком и журналами.

Отключите тот порт (MySQL 3306; не вспоминать порт SQL Server, возможно, 118?) через брандмауэр. Затем никто не может получить доступ к нему.
Если вне доступа к SQL необходим, повторно отобразите его на порт с высоким номером, как 53 535. Если кто-либо выяснит, что порт открыт, то будет трудно предположить свое значение.

Вход в систему пытается включить попытки ввести некоторый вредоносный код. Я рекомендую блокировать это действие с постоянным черным списком с помощью или программного обеспечения брандмауэра сервера или третьего лица внешний брандмауэр.

Кроме того, сократите количество позволенных отказов входа в систему, поскольку это автоматически заблокирует IP-адрес злоумышленника.

Выше минимизирует это.

Это - вероятно, просто некоторая деточка сценария, выполняющая сканер и не стоящее Вашего времени, преследуя. Я посмотрел бы на не наличие Вашей базы данных, доступной из Интернета.

• Если Вы можете, отключить весь доступ к счету SQL, не только sa - т.е. включить аутентификацию Windows только, без аутентификации SQL.
• Ограничьте доступ к сети - или через брандмауэр или по крайней мере через ограничения IP на поле - к тем серверам, которые требуют доступа только. Общедоступным пользователям не нужен прямой доступ, правильно?
• Примите во внимание, что он, вероятно, попробует bruteforcing пользователь локального администратора, затем. Хотя Вы не можете действительно удалить полномочия администратора, можно бросить его в определенную роль и явно блокировать доступ.
• Если Вы можете, отключить сервис Браузера SQL Server. Никакая причина помочь...
• Выполните полный анализ пользователей, полномочий и паролей на базе данных - они будут, вероятно, судить других пользователей затем.
• Попытайтесь спросить это снова относительно ITSecurity. SE для большего количества информации :)

Необходимо ограничить попытки входа в систему, поэтому если тот же пользователь пытается зарегистрироваться больше чем в 5 раз, они заблокированы от дальнейших попыток в течение нескольких часов или дня. По крайней мере затем они не могут грубая сила вход в систему после миллиона попыток.

И как другие сказали, не предоставляйте открытый доступ, если это не необходимо. Можно ограничить доступ к ряду известного дюйм/с, если некоторым людям нужен внешний доступ.

Если Ваш SQL Server должен быть доступным за пределами Вашего netowrk, Вы можете Whiteliste внешние IP-адреса, бывшие нужные в доступе. VPNs являются лучшим решением, (но не всегда доступные), и лучшим решением не является никакой внешний доступ.

Белый список требует большего количества управления, но это удаляет эту глупость. Если кому-то нужен доступ, и у них есть часто изменяющийся IP, то они могут войти в другую систему через RDP и подключение к SQL Server оттуда.

Переименуйте учетную запись sa, создайте поддельную учетную запись sa и отключите ее.

Контрольные полномочия и триггер обновление пароля для всех Учетных записей Пользователя SQL Server; возможно, увеличьте требования надежности пароля.

Перенумеруйте порт прослушивания IP SQL Server. Это означает обновлять клиентские конфигурации или файлы конфигурации приложения.

Я соглашаюсь с другими плакатами относительно вероятных следующих векторов атаки, и это - вероятно, кто-то запускающий скрипт.

Для любого ищущего программу, которая создаст политику IPSec, фильтры, и т.д. и автоматически просканирует журнал событий и добавит IP к черному списку, я записал небольшую программу, которая делает просто это.

У меня была эта проблема также, где мой журнал событий будет заполнен тысячами записей для хакеров, пытающихся входить в мой экземпляр MSSQL с входом в систему 'sa'. После большого поиска я решил записать, что моя собственная программа, чтобы иметь его создают необходимые объекты IPSEC и затем сканируют журнал событий каждые 60 секунд для нападений от новых IP-адресов. Это затем добавляет IP-адрес к фильтру IPSEC и блоки весь трафик к и от IP. Я только протестировал это на Windows Server 2008, но полагаю, что он будет работать над другими версиями также.

Не стесняйтесь загружать программу с помощью ссылки ниже. Пожертвования всегда ценятся с помощью ссылки в контекстном меню taskmanager значка.

http://www.cgdesign.net/programs/AutoBlockIp.zip

Обратите внимание на то, что это только работает на попытки входа в систему SQL с помощью входа в систему 'sa', но я мог изменить его для работы на другие события журнала также. Кроме того, можно просмотреть IP, которые были заблокированы, но Вы продолжите видеть, что некоторые объекты в конечном счете регистрируются, так как программа только работает каждые 60 секунд. Это происходит из-за неспособности удалить единственную запись журнала событий, и я не думал, удаляя весь журнал, будет хорошая идея.

ПРАВОВАЯ ОГОВОРКА - Путем загрузки и установки вышеупомянутой программы, Вы соглашаетесь держать меня безопасный для любого повреждения, потери данных, повреждения или любых других проблем функциональности, следующих из использования упомянутого программного обеспечения. Я протестировал программу в меру своей способности и в настоящее время имею ее работающий на 2 серверах, но Вас попросили использовать на Ваш собственный риск.

Любые вопросы или комментарии, не стесняйтесь связываться со мной использующий форму контакта на моем веб-сайте по www.cgdesign.net

- Chris