Можлива атака на мій SQL-сервер?

Перевіряючи свій журнал SQL Server, я бачу кілька таких записів:

Date: 08-11-2011 11:40:42
Source: Logon
Message: Login failed for user 'sa'. Reason: Password did not match for the login provided. [CLIENT: 56.60.156.50]
Date: 08-11-2011 11:40:42
Source: Logon
Message: Error: 18456. Severity: 14. State: 8.


Date: 08-11-2011 11:40:41
Source: Logon
Message: Login failed for user 'sa'. Reason: Password did not match for the login provided. [CLIENT: 56.60.156.50]
Date: 08-11-2011 11:40:41
Source: Logon
Message: Error: 18456. Severity: 14. State: 8.

І так далі .. Це можлива атака на мій SQL Server від китайців ???! Я подивився IP-адресу на ip-lookup.net, де було заявлено, що це китайська мова.

А що робити?

• Заблокувати IP-адресу в брандмауері?
• Видалити користувача sa?

І як я найкраще захистити свій веб-сервер ?!

Спасибі заздалегідь!

Якщо у вас є брандмауер, чому сервер баз даних піддається Інтернет?

• Брандмауер повинен блокувати весь доступ до серверів BOTH, крім необхідних портів. Зазвичай це буде 80 (http) і 443 (https) ТОЛЬКО для веб-сервера.
• Якщо (і лише якщо) зовнішній сервіс вимагає доступу до SQL Server, дозвольте доступ до конкретних IP-адрес, необхідних для брандмауера. Це повинно відбуватися через VPN-з'єднання, не відкрите 1433.
• Створіть новий обліковий запис адміністратора та вимкніть за замовчуванням "sa".
• Переважно перейти від використання "змішаного режиму" аутентифікації на акаунти Windows.

Перше, що вам потрібно зробити, - повідомити про це особі, відповідальній за безпеку мережі та систем у вашій компанії. Якщо такої людини немає, киньте це адміністратору мережі. Якщо такої людини немає, зателефонуйте до директора з технічних питань / директора - зараз - ще краще, вимагайте віч-на-віч - і поясніть ситуацію.

Перше, що людина повинна зробити - це заблокувати IP з брандмауера. Це дозволить вам придбати трохи часу, але не багато, можливо, лише хвилин. Якщо IP-карти відображаються на діапазон IP-адрес, про які повідомляє WhoIs.net, блокуйте весь діапазон IP, наданий WhoIs. Це не дозволить хлопцеві вимагати нового IP від ​​свого провайдера і вступати з новим IP. На кілька хвилин, можливо.

Потім зробіть те, що сказано вище Марк-Сторі Сміт.

Потім або додайте брандмауер, або перемістіть db від DMZ. Якщо у вас вже є брандмауер і db не знаходиться в DMZ, вам потрібно негайно провести криміналістичну перевірку, щоб перевірити, чи були порушені сервери між вами та брандмауером (найімовірніше, що вони є). Змініть ВСІЙ адміністраторський пароль на дуже довгі складні паролі - sa, адміністратор Windows, адміністратори домену, локальні адміністратори, ВСІ з них. Потім перегляньте кожен сервер всюди у вашій мережі та видаліть будь-які облікові записи адміністратора, які ви не визнаєте, або будь-які колишні співробітники чи консультанти, які вийшли з компанії. Потім віруси та зловмисне програмне забезпечення сканують все на кожному сервері.

Потім зробіть другий прохід і ще раз перевірте все вищезазначене.

Удачі.

Блокуйте всі підключення до вашої бази даних, які не походять з вашого веб-сервера. Дійсно.

На додаток до налаштування брандмауера для блокування несанкціонованого трафіку, не забудьте додати свій обліковий запис Windows до ролі sysadmin та відключити обліковий запис SA! Вимкніть також ідентифікацію SQL.

У вас не повинно бути жодного з ваших серверів у загальнодоступному Інтернеті, не маючи брандмауера, що блокує ВСІ мережеві доступу з Інтернету до серверів SQL. Якщо у вас відкритий порт 1433, які інші порти потрібно відкрити? Я гадаю, що у вас відкрито безліч портів для Інтернету, і якщо це так, ви, мабуть, маєте людей, які використовують ваш SQL Server для речей, які ви не хочете.

Вам потрібно залучити професіонала, щоб подивитися на системи і отримати безпеку якнайшвидше. Бог знає лише, успішно люди проникли в систему чи ні. (Так, я консультант , так, я можу виконати роботу, ні, я не кажу, що ти повинен мене наймати.)

Принаймні вам потрібно прочитати про безпеку мережі та безпеку бази даних (у мене навіть є книга з цього приводу) і захистити свої системи.

Кроки, які вам в основному потрібно дотримуватися в цей момент, - це ...

1. Налаштуйте брандмауер для блокування всіх вхідних з'єднань, крім тих, які вам справді потрібні
2. Зробіть ДУЖЕ хороше вірусне сканування SQL Server. Якщо у вас ще не встановлений сканер вірусів на SQL Server, припустіть, що він заражений і відформатуйте апарат.
3. Налаштуйте безпеку бази даних відповідно до кращих практик: надійні паролі, найменші дозволи тощо
4. Зробіть пошук вірусів на кожному іншому сервері компанії. Якщо у них не встановлені вірусні сканери, припустімо, що вони заражені та відформатуйте їх.