Возможна атака на мой SQL-сервер?

Проверяя мой журнал SQL Server, я вижу несколько таких записей:

Date: 08-11-2011 11:40:42
Source: Logon
Message: Login failed for user 'sa'. Reason: Password did not match for the login provided. [CLIENT: 56.60.156.50]
Date: 08-11-2011 11:40:42
Source: Logon
Message: Error: 18456. Severity: 14. State: 8.


Date: 08-11-2011 11:40:41
Source: Logon
Message: Login failed for user 'sa'. Reason: Password did not match for the login provided. [CLIENT: 56.60.156.50]
Date: 08-11-2011 11:40:41
Source: Logon
Message: Error: 18456. Severity: 14. State: 8.

И так далее ... Это возможная атака на мой SQL Server со стороны китайцев ??? Я посмотрел IP-адрес на ip-lookup.net, который заявил, что это китайский.

И что делать?

• Блокировать IP-адрес в брандмауэре?
• Удалить пользователя sa?

И как мне лучше защитить свой веб-сервер ?!

Заранее спасибо!

Если у вас есть брандмауэр, почему сервер базы данных подключен к Интернету?

• Брандмауэр должен блокировать весь доступ к ОБА серверам, кроме необходимых портов. Обычно это 80 (http) и 443 (https) ТОЛЬКО для веб-сервера.
• Если (и только если) внешней службе требуется доступ к SQL Server, разрешите доступ к определенным IP-адресам, необходимым на брандмауэре. Это должно происходить через VPN-соединение, а не открыто 1433.
• Создайте новую учетную запись администратора и отключите «sa» по умолчанию.
• Желательно переключиться с использования «смешанного режима» аутентификации на учетные записи Windows.

Первое, что вы должны сделать, это сообщить об этом человеку, ответственному за безопасность сети и системы в вашей компании. Если такого человека нет, скажите это администратору сети. Если такого человека нет, позвоните CIO / CTO прямо сейчас - еще лучше, потребуйте лицом к лицу - и объясните ситуацию.

Первое, что человек должен сделать, это заблокировать IP-адрес от брандмауэра. Это даст вам немного времени, но не так много, может быть, только минуты. Если IP-адрес сопоставляется с диапазоном IP-адресов, как сообщает WhoIs.net, заблокируйте весь диапазон IP-адресов, заданный WhoIs. Это не даст парню запросить новый IP у своего интернет-провайдера и получить новый IP. Возможно, на несколько минут.

Тогда делай то, что говорит Марк-Стори Смит выше.

Затем либо добавьте брандмауэр, либо переместите базу данных из DMZ. Если у вас уже есть брандмауэр, а база данных не находится в демилитаризованной зоне, вам нужна немедленная криминалистическая проверка, чтобы выяснить, не были ли скомпрометированы промежуточные серверы между вами и брандмауэром (скорее всего, они есть). Измените ВСЕ пароль администратора на очень длинные сложные пароли - sa, Windows Admin, администраторы домена, локальные администраторы, ВСЕ ИХ. Затем просмотрите все серверы в вашей сети и удалите все учетные записи администратора, которые вы не можете распознать, или те, которые были уволены из бывших сотрудников или консультантов. Затем вирусы и вредоносные программы сканируют все на каждом сервере.

Затем сделайте второй проход и еще раз проверьте все вышеперечисленное.

Удачи.

Заблокируйте все подключения к вашей базе данных, которые не происходят с вашего веб-сервера (ов). В самом деле.

Помимо настройки брандмауэра для блокировки неавторизованного трафика, не забудьте добавить свою учетную запись Windows в роль sysadmin и отключить учетную запись SA! Отключите проверку подлинности SQL.

У вас не должно быть ни одного из ваших серверов в общедоступном Интернете, если у вас нет брандмауэра, блокирующего ВСЕ сетевой доступ из Интернета к серверам SQL. Если у вас открыт порт 1433, какие еще порты нужно открыть? Я предполагаю, что у вас есть много открытых портов в Интернет, и в этом случае у вас, вероятно, есть люди, использующие ваш SQL Server для вещей, которые вам не нужны.

Вам нужно пригласить профессионала, чтобы посмотреть на системы и исправить вашу безопасность как можно скорее. Бог знает только, если люди успешно проникли в систему или нет. (Да, я консультант , да, я могу выполнять работу, нет, я не говорю, что вы должны меня нанять.)

По крайней мере, вам нужно прочитать о сетевой безопасности и безопасности баз данных (у меня даже есть книга на эту тему) и обеспечить безопасность ваших систем.

Шаги, которые вам необходимо выполнить на этом этапе:

1. Настройте брандмауэр, чтобы заблокировать все входящие соединения, кроме тех, которые вам действительно нужны
2. Сделайте ОЧЕНЬ хорошую проверку на вирусы SQL Server. Если на SQL Server еще не установлен антивирусный сканер, предположите, что он заражен, и отформатируйте компьютер.
3. Настройте безопасность базы данных, следуя рекомендациям: надежные пароли, минимальные разрешения и т. Д.
4. Сделайте проверку на вирусы любого другого сервера в компании. Если у них нет уже установленных антивирусных сканеров, предположите, что они заражены, и отформатируйте их.