SQL sunucuma olası saldırı?

SQL Server günlüğümü kontrol ediyorum, böyle birkaç girdi görüyorum:

Date: 08-11-2011 11:40:42
Source: Logon
Message: Login failed for user 'sa'. Reason: Password did not match for the login provided. [CLIENT: 56.60.156.50]
Date: 08-11-2011 11:40:42
Source: Logon
Message: Error: 18456. Severity: 14. State: 8.


Date: 08-11-2011 11:40:41
Source: Logon
Message: Login failed for user 'sa'. Reason: Password did not match for the login provided. [CLIENT: 56.60.156.50]
Date: 08-11-2011 11:40:41
Source: Logon
Message: Error: 18456. Severity: 14. State: 8.

Ve böylece .. Bu Çince gelen benim SQL Server üzerinde olası bir saldırı mı ???! IP-lookup.net adresinde Çince olduğunu belirten IP adresini aradım.

Ne yapmalı?

• Güvenlik duvarındaki IP adresi engellenir mi?
• Sa? Kullanıcısı silinsin mi?

Web sunucumu en iyi nasıl koruyabilirim ?!

Şimdiden teşekkürler!

Güvenlik duvarınız varsa, veritabanı sunucusu neden internete maruz kalıyor?

• Güvenlik duvarı, gerekli bağlantı noktaları dışında BOTH sunucularına tüm erişimi engellemelidir. Genellikle bu SADECE web sunucusuna 80 (http) ve 443 (https) olur.
• Harici bir hizmetin SQL Server'a erişmesi gerekiyorsa (ve yalnızca), güvenlik duvarında gereken belirli IP adreslerine erişime izin verin. Bu, açık bir şekilde açığa çıkmayan 1433 VPN bağlantısıyla gerçekleşmelidir.
• Yeni bir yönetici hesabı oluşturun ve varsayılan 'sa'yı devre dışı bırakın.
• Tercihen, "karışık mod" kimlik doğrulamasından Windows hesaplarına geçin.

Yapmanız gereken ilk şey, bunu şirketinizdeki ağ ve sistem güvenliğinden sorumlu kişiye bildirmektir. Böyle bir kişi yoksa, bunu ağ yöneticisine atın. Böyle bir kişi yoksa, şu anda CIO / CTO'yu arayın - daha iyisi, yüz yüze talep edin - ve durumu açıklayın.

Kişinin yapması gereken ilk şey IP'yi güvenlik duvarından engellemektir. Bu size biraz zaman kazandıracak, ancak çok fazla değil, belki sadece dakika. IP, WhoIs.net tarafından bildirilen bir dizi IP ile eşleşiyorsa, WhoI'ler tarafından verilen tüm IP aralığını engelleyin. Bu, adamın ISP'sinden yeni bir IP istemesini ve yeni bir IP'ye girmesini önleyecektir. Birkaç dakika, belki.

O zaman Mark-Storey Smith'in yukarıda söylediklerini yapın.

Ardından bir güvenlik duvarı ekleyin veya db'yi DMZ'den taşıyın. Zaten bir güvenlik duvarınız varsa ve db DMZ'de değilse, sizinle güvenlik duvarı arasındaki müdahale eden sunucuların tehlikeye girip girmediğini (büyük olasılıkla sahip olduklarını) görmek için derhal adli bir kontrol yapmanız gerekir. TÜM yönetici parolasını çok uzun karmaşık parolalarla değiştirin - sa, Windows Yöneticisi, etki alanı yöneticileri, yerel yöneticiler, TÜMÜ. Ardından, ağınızdaki her sunucuyu inceleyin ve tanımadığınız yönetici hesaplarını veya şirketten ayrılan eski çalışanlar veya danışmanlar için olanları silin. Ardından virüs ve kötü amaçlı yazılımlar her sunucudaki her şeyi tarar.

Sonra ikinci bir geçiş yapın ve yukarıdakilerin tümünü bir kez daha kontrol edin.

İyi şanslar.

Veritabanınıza web sunucularınızdan kaynaklanmayan tüm bağlantıları engelleyin. Gerçekten mi.

Güvenlik duvarını yetkisiz trafiği engelleyecek şekilde yapılandırmanın yanı sıra, windows hesabınızı sysadmin rolüne eklemeyi ve SA hesabını devre dışı bırakmayı unutmayın! SQL kimlik doğrulamasını da devre dışı bırakın.

Internet'ten SQL Server'lara TÜM ağ erişimini engelleyen bir güvenlik duvarına sahip olmadan herkese açık İnternet'teki sunucularınızın hiçbirine sahip olmamalısınız. 1433 numaralı bağlantı noktanız açıksa, başka hangi bağlantı noktalarının açılması gerekir? Benim tahminim, internete açık birçok portunuz olması ve bu durumda SQL Server'ınızı istemediğiniz şeyler için kullanan kişileriniz olması muhtemeldir.

Sistemlere bakmak ve güvenliğinizi en kısa sürede düzeltmek için bir profesyonel getirmeniz gerekir. Tanrı, insanların sisteme başarılı bir şekilde girip girmediklerini bilir. (Evet, ben bir danışmanım , evet işi yapabilirim, hayır beni işe almanı söylemiyorum.)

En azından ağ güvenliği ve veritabanı güvenliği (hatta bu konuda bir kitabım var) okuma ve sistemlerinizi güvenlik altına almak gerekir.

Bu noktada temel olarak izlemeniz gereken adımlar ...

1. Güvenlik duvarınızı, gerçekten ihtiyacınız olanlar dışındaki tüm gelen bağlantıları engelleyecek şekilde ayarlayın
2. SQL Server ÇOK iyi bir virüs taraması yapın. SQL Server'da yüklü bir virüs tarayıcınız yoksa, virüs bulaşmış olduğunu varsayın ve makineyi biçimlendirin.
3. En iyi uygulamaları izleyerek veritabanı güvenliğini ayarlayın: güçlü parolalar, en az izinler, vb.
4. Şirketteki diğer her sunucunun virüs taramasını yapın. Zaten yüklü virüs tarayıcıları yoksa, virüslü olduklarını varsayın ve formatlayın.