Tôi nên làm gì khi ai đó cố gắng ép buộc cố gắng đăng nhập vào tài khoản 'sa' SQL Server của chúng tôi?

9

Có vẻ như ai đó hoặc thứ gì đó đang cố gắng dùng vũ lực để đăng nhập vào phiên bản SQL Server sản xuất của chúng tôi bằng tài khoản 'sa'. Họ đã không thành công vì tài khoản 'sa' của chúng tôi bị vô hiệu hóa, nhưng tôi nên thực hiện những bước nào để đảm bảo mọi thứ được an toàn?

cố gắng đăng nhập

security  sql-server-2008 
Jon Erickson
nguồn
1
Chào. Đánh dấu nó như đã trả lời để chúng ta có thể tiếp tục với cuộc sống của chúng ta. :)
JohnThePro

Câu trả lời:

29

Máy chủ SQL của bạn có cần được công khai trên Internet không? Đây thường không phải là trường hợp. Nếu nó hoàn toàn phải theo cách này, bạn có thể hạn chế quyền truy cập theo địa chỉ IP hoặc có thể thiết lập VPN. Rõ ràng, làm cho mật khẩu sa không thể truy cập được hoặc xem về việc hạn chế các vị trí đăng nhập sa chỉ từ các địa chỉ IP LAN của bạn. Vui lòng cung cấp thêm chi tiết để những người khác có thể hỗ trợ bạn với các giải pháp tốt hơn.

jftuga
nguồn
3
Hoàn toàn thế này. Đây là một trường hợp cổ điển để sử dụng tường lửa và giảm thiểu bề mặt tấn công của bạn.
Rob Moir
Thêm vào đó không phải là ai đó. Nó là khá nhiều một con sâu ngoài đó, không phải là một con người. SQL Server trên internet + không thay đổi cổng mặc định = hoàn toàn bỏ qua thực tế (internet không phải là một nơi tốt đẹp).
TomTom
5

Điều đầu tiên bạn có thể làm là bắt đầu bằng cách liệt kê danh sách đen địa chỉ IP đó và từ chối hoàn toàn BẤT K Traffic lưu lượng truy cập từ IP của họ tại tường lửa của bạn. Tất nhiên, họ chỉ có thể thay đổi IP, nhưng ít nhất nó sẽ ngăn họ bắn phá máy chủ của bạn bằng lưu lượng truy cập và nhật ký.

JohnThePro
nguồn
3

Vô hiệu hóa cổng đó (MySQL là 3306; không gọi lại cổng của SQL Server, có thể là 118?) Thông qua tường lửa. Sau đó, không ai có thể truy cập nó.
Nếu cần truy cập bên ngoài vào SQL, hãy ánh xạ lại vào một cổng được đánh số cao, như 53535. Nếu bất cứ ai phát hiện ra rằng cổng đó đang mở, sẽ rất khó để đoán được tầm quan trọng của nó.

wallyk
nguồn
1433; nếu nó phải được mở ra bên ngoài, hãy thay đổi nó thành bất cứ thứ gì khác; Tuy nhiên, điều đó sẽ liên quan đến việc thay đổi chuỗi kết nối trên máy khách.
SqlACID
Và cũng 1434, cho dịch vụ khám phá ...
AviD
3

Các nỗ lực đăng nhập liên quan đến nỗ lực tiêm một số mã độc. Tôi khuyên bạn nên chặn hoạt động này bằng danh sách đen vĩnh viễn bằng phần mềm tường lửa của máy chủ hoặc tường lửa bên ngoài của bên thứ ba.

Ngoài ra, hãy giảm số lần đăng nhập được phép vì điều này sẽ tự động chặn địa chỉ IP của kẻ xâm nhập.

Ở trên sẽ giảm thiểu điều này.

S.Ragavendra Ganesh
nguồn
2

Có lẽ nó chỉ là một số kịch bản kiddie chạy một máy quét và không đáng để bạn theo đuổi. Tôi sẽ xem xét không có cơ sở dữ liệu của bạn có thể truy cập từ Internet.

JOTN
nguồn
2
  • Nếu bạn có thể, hãy vô hiệu hóa tất cả quyền truy cập tài khoản SQL, không chỉ sa - tức là chỉ bật Xác thực Windows mà không cần Xác thực SQL.
  • Hạn chế truy cập mạng - thông qua tường lửa hoặc ít nhất là hạn chế IP trên hộp - đối với những máy chủ chỉ yêu cầu quyền truy cập. Người dùng công cộng không cần truy cập trực tiếp, phải không?
  • Hãy tính đến việc anh ta có thể sẽ thử bruteforcing người dùng Administrator cục bộ, tiếp theo. Mặc dù bạn thực sự không thể xóa quyền của quản trị viên, bạn có thể thả nó vào một vai trò cụ thể và chặn truy cập rõ ràng.
  • Nếu bạn có thể, hãy tắt dịch vụ Trình duyệt SQL Server. Không có lý do để làm cho nó dễ dàng hơn ...
  • Thực hiện phân tích đầy đủ về người dùng, quyền và mật khẩu trên cơ sở dữ liệu - họ có thể sẽ thử những người dùng khác tiếp theo.
  • Hãy thử hỏi lại điều này trên ITSecurity.SE để biết thêm thông tin :)
AviD
nguồn
2

Nếu Máy chủ SQL của bạn phải có thể truy cập được bên ngoài netowrk của bạn, bạn có thể Whiteliste các địa chỉ IP bên ngoài cần truy cập. VPN là một giải pháp tốt hơn, (nhưng không phải lúc nào cũng có sẵn) và giải pháp tốt nhất là không có quyền truy cập bên ngoài.

Danh sách trắng đòi hỏi quản lý nhiều hơn, nhưng nó loại bỏ sự điên cuồng này. Nếu ai đó cần quyền truy cập và họ có IP thay đổi thường xuyên, thì họ có thể đăng nhập vào một hệ thống khác thông qua RDP và kết nối với SQL Server từ đó.

Đổi tên tài khoản sa, tạo tài khoản sa giả và vô hiệu hóa nó.

Kiểm tra quyền và kích hoạt cập nhật mật khẩu cho tất cả Tài khoản người dùng SQL Server; có thể tăng yêu cầu sức mạnh mật khẩu.

Đánh số lại cổng nghe IP của SQL Server. Điều này có nghĩa là cập nhật cấu hình máy khách hoặc tệp cấu hình ứng dụng.

Tôi đồng ý với các áp phích khác liên quan đến các vectơ tấn công tiếp theo có thể xảy ra và đây có lẽ là ai đó đang chạy một kịch bản.

Robert Miller
nguồn
1

Đối với bất kỳ ai đang tìm kiếm một chương trình sẽ tạo ra chính sách IPSEC, bộ lọc, v.v. và tự động quét nhật ký sự kiện và thêm IP vào danh sách chặn, tôi đã viết một chương trình nhỏ thực hiện điều đó.

Tôi cũng gặp vấn đề này khi nhật ký sự kiện của tôi chứa đầy hàng ngàn mục nhập cho tin tặc cố đăng nhập vào ví dụ MSSQL của tôi bằng thông tin đăng nhập 'sa'. Sau khi tìm kiếm nhiều, tôi quyết định viết chương trình của riêng mình, để nó tạo ra các mục IPSEC không cần thiết, và sau đó quét nhật ký sự kiện cứ sau 60 giây để tìm các cuộc tấn công từ các địa chỉ IP mới. Sau đó, nó thêm địa chỉ IP vào bộ lọc IPSEC và chặn tất cả lưu lượng truy cập đến và từ IP. Tôi mới chỉ thử nghiệm điều này trên Windows Server 2008, nhưng tin rằng nó cũng sẽ hoạt động trên các phiên bản khác.

Hãy tải xuống chương trình bằng cách sử dụng liên kết dưới đây. Đóng góp luôn được đánh giá cao bằng cách sử dụng liên kết trong menu chuột phải của biểu tượng taskmanager.

http://www.cgdesign.net/programs/AutoBlockIp.zip

Xin lưu ý rằng điều này chỉ hoạt động đối với các lần thử đăng nhập SQL bằng cách sử dụng thông tin đăng nhập 'sa', nhưng tôi cũng có thể sửa đổi nó để hoạt động cho các sự kiện nhật ký khác. Ngoài ra, bạn có thể xem các IP đã bị chặn, nhưng bạn sẽ tiếp tục thấy một số mục trong nhật ký sự kiện do chương trình chỉ chạy sau mỗi 60 giây. Điều này là do không thể xóa một mục nhật ký sự kiện và tôi không nghĩ xóa toàn bộ nhật ký sẽ là một ý tưởng hay.

TUYÊN BỐ TỪ CHỐI - Bằng cách tải xuống và cài đặt chương trình nói trên, bạn đồng ý giữ cho tôi vô hại cho bất kỳ thiệt hại, mất dữ liệu, tham nhũng hoặc bất kỳ vấn đề chức năng nào khác do sử dụng phần mềm nói trên. Tôi đã thử nghiệm chương trình với khả năng tốt nhất của mình và hiện tại nó đang chạy trên 2 máy chủ, nhưng bạn đã được cảnh báo sử dụng có nguy cơ.

Mọi câu hỏi hoặc nhận xét, xin vui lòng liên hệ với tôi bằng cách sử dụng mẫu liên hệ trên trang web của tôi tại www.cgdesign.net

-Chris

cglavan
nguồn
Bạn làm tốt công việc tiết lộ sự liên kết của bạn với sản phẩm. Hãy cẩn thận, chúng tôi thường không đánh giá cao các phiên bán hàng.
Scott Pack
0

Bạn nên hạn chế các lần thử đăng nhập, vì vậy nếu cùng một người dùng cố gắng đăng nhập hơn 5 lần, họ sẽ bị chặn khỏi mọi nỗ lực tiếp theo trong vài giờ hoặc một ngày. Ít nhất sau đó họ không thể bắt bẻ đăng nhập sau một triệu lần thử.

Và như những người khác đã nói, không cho phép truy cập công cộng nếu không cần thiết. Bạn có thể hạn chế quyền truy cập vào một nhóm IP đã biết nếu một số người cần quyền truy cập bên ngoài.

Bất mãn
nguồn
1
Tài khoản đã bị vô hiệu hóa, nó không thể bị vô hiệu hóa nhiều nữa.
mrdenny
@mrdenny: Tôi đã suy nghĩ nhiều hơn về các tài khoản không bị vô hiệu hóa cho đoạn đầu tiên. Nếu ai đó vũ phu ép buộc 'sa', họ có thể dễ dàng bắt đầu với một tài khoản khác. Sau 5 lần thử trên tài khoản bị vô hiệu hóa, chỉ cần chặn chúng hoàn toàn.
DisgruntledGoat
Script mèo con thường sẽ chỉ tấn công tài khoản sa vì họ đã biết tên người dùng. Nếu không, họ cũng phải ép buộc tên người dùng, điều này mất gấp đôi thời gian và họ không có cách nào để biết tên người dùng có tồn tại hay không.
mrdenny
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.