Có thể tấn công vào máy chủ SQL của tôi?

Kiểm tra nhật ký Máy chủ SQL của tôi, tôi thấy một số mục như thế này:

Date: 08-11-2011 11:40:42
Source: Logon
Message: Login failed for user 'sa'. Reason: Password did not match for the login provided. [CLIENT: 56.60.156.50]
Date: 08-11-2011 11:40:42
Source: Logon
Message: Error: 18456. Severity: 14. State: 8.


Date: 08-11-2011 11:40:41
Source: Logon
Message: Login failed for user 'sa'. Reason: Password did not match for the login provided. [CLIENT: 56.60.156.50]
Date: 08-11-2011 11:40:41
Source: Logon
Message: Error: 18456. Severity: 14. State: 8.

Và như vậy .. Đây có phải là một cuộc tấn công có thể vào Máy chủ SQL của tôi từ Trung Quốc ???! Tôi đã tra cứu địa chỉ IP tại ip-lookup.net, cho biết đó là tiếng Trung Quốc.

Và phải làm gì?

• Chặn địa chỉ IP trong tường lửa?
• Xóa người dùng sa?

Và làm cách nào để bảo vệ máy chủ web của tôi tốt nhất?!

Cảm ơn trước!

Nếu bạn có tường lửa, tại sao máy chủ cơ sở dữ liệu tiếp xúc với internet?

• Tường lửa nên chặn tất cả quyền truy cập vào máy chủ BOTH ngoài các cổng cần thiết. Thông thường, điều này sẽ chỉ là 80 (http) và 443 (https) cho máy chủ web.
• Nếu (và chỉ khi) một dịch vụ bên ngoài yêu cầu quyền truy cập vào Máy chủ SQL, hãy cho phép truy cập vào các địa chỉ IP cụ thể được yêu cầu tại tường lửa. Điều này sẽ xảy ra thông qua kết nối VPN, không được tiếp xúc công khai 1433.
• Tạo tài khoản quản trị viên mới và vô hiệu hóa 'sa' mặc định.
• Tốt hơn là, chuyển từ sử dụng xác thực "chế độ hỗn hợp" sang tài khoản windows.

Điều đầu tiên bạn nên làm là báo cáo điều này với người chịu trách nhiệm về bảo mật mạng và hệ thống tại công ty của bạn. Nếu không có người đó, hãy ném nó cho quản trị viên mạng. Nếu không có người đó, hãy gọi CIO / CTO ngay bây giờ - tốt hơn hết, yêu cầu đối mặt - và giải thích tình huống.

Điều đầu tiên mà người đó nên làm là chặn IP khỏi tường lửa. Điều này sẽ mua cho bạn một ít thời gian, nhưng không nhiều, có thể chỉ vài phút. Nếu IP ánh xạ tới một dải IP như WhoIs.net đã báo cáo, hãy chặn toàn bộ dải IP được cung cấp bởi WhoIs. Điều đó sẽ ngăn anh chàng yêu cầu một IP mới từ ISP của anh ta và nhận được một IP mới. Trong vài phút, có thể.

Sau đó làm những gì Mark-Storey Smith nói ở trên.

Sau đó, thêm tường lửa hoặc di chuyển db từ DMZ. Nếu bạn đã có tường lửa và db không có trong DMZ, bạn cần kiểm tra pháp y ngay lập tức để xem liệu các máy chủ can thiệp giữa bạn và tường lửa có bị xâm phạm hay không (rất có thể chúng có). Thay đổi TẤT CẢ mật khẩu quản trị viên thành mật khẩu phức tạp rất dài - sa, Quản trị viên Windows, quản trị viên tên miền, quản trị viên cục bộ, TẤT CẢ ĐỀU. Sau đó xem xét mọi máy chủ ở mọi nơi trên mạng của bạn và xóa mọi tài khoản quản trị viên mà bạn không nhận ra hoặc bất kỳ tài khoản nào cho nhân viên cũ hoặc chuyên gia tư vấn đã rời khỏi công ty. Sau đó, virus và phần mềm độc hại quét mọi thứ trên mọi máy chủ.

Sau đó thực hiện một lượt thứ hai và kiểm tra lại tất cả những điều trên một lần nữa.

Chúc may mắn.

Chặn tất cả các kết nối đến cơ sở dữ liệu của bạn không bắt nguồn từ (các) máy chủ web của bạn. Có thật không.

Ngoài việc định cấu hình tường lửa để chặn lưu lượng truy cập trái phép, đừng quên thêm tài khoản windows của bạn vào vai trò sysadmin và Tách tài khoản SA! Vô hiệu hóa xác thực SQL là tốt.

Bạn không nên có bất kỳ máy chủ nào của mình trên Internet công cộng mà không có tường lửa chặn TẤT CẢ quyền truy cập mạng từ Internet đến Máy chủ SQL. Nếu bạn đã mở cổng 1433, những cổng nào khác sẽ mở? Tôi đoán là bạn đã có rất nhiều cổng mở cho Internet và nếu đó là trường hợp bạn có thể có người sử dụng Máy chủ SQL của mình cho những thứ mà bạn không muốn.

Bạn cần phải có một chuyên gia để xem xét các hệ thống và bảo mật của bạn cố định càng sớm càng tốt. Chúa chỉ biết người ta đã đột nhập vào hệ thống thành công hay chưa. (Vâng, tôi là một chuyên gia tư vấn , vâng tôi có thể thực hiện công việc, không tôi không nói rằng bạn phải thuê tôi.)

Ít nhất bạn cần đọc về bảo mật mạng và bảo mật cơ sở dữ liệu (tôi thậm chí có một cuốn sách về chủ đề này) và bảo mật hệ thống của bạn.

Các bước cơ bản bạn cần làm theo vào thời điểm này là ...

1. Thiết lập tường lửa của bạn để chặn tất cả các kết nối gửi đến ngoại trừ những kết nối bạn thực sự cần
2. Thực hiện quét virus RẤT tốt của Máy chủ SQL. Nếu bạn chưa cài đặt trình quét vi-rút trên Máy chủ SQL, giả sử rằng nó đã bị nhiễm và định dạng máy.
3. Thiết lập bảo mật cơ sở dữ liệu theo các thực tiễn tốt nhất: mật khẩu mạnh, ít quyền nhất, v.v.
4. Thực hiện quét virus của tất cả các máy chủ khác tại công ty. Nếu họ không cài đặt trình quét vi-rút, giả sử họ đã bị nhiễm và định dạng chúng.