Mic*_*ens 15 sql-server-2008 sql-server
检查我的 SQL Server 日志,我看到几个这样的条目:
Date: 08-11-2011 11:40:42
Source: Logon
Message: Login failed for user 'sa'. Reason: Password did not match for the login provided. [CLIENT: 56.60.156.50]
Date: 08-11-2011 11:40:42
Source: Logon
Message: Error: 18456. Severity: 14. State: 8.
Date: 08-11-2011 11:40:41
Source: Logon
Message: Login failed for user 'sa'. Reason: Password did not match for the login provided. [CLIENT: 56.60.156.50]
Date: 08-11-2011 11:40:41
Source: Logon
Message: Error: 18456. Severity: 14. State: 8.
等等..这可能是中国人对我的 SQL Server 的攻击吗???!我在 ip-lookup.net 上查找了 IP 地址,它说它是中文的。
怎么办?
以及如何最好地保护我的 Web 服务器?!
提前致谢!
Mar*_*ith 30
如果您有防火墙,为什么数据库服务器会暴露在 Internet 上?
小智 10
您应该做的第一件事是将此情况报告给贵公司负责网络和系统安全的人员。如果没有这样的人,就把这个扔给网络管理员。如果没有这样的人,请立即致电 CIO/CTO - 更好的是,要求面对面 - 并解释情况。
该人应该做的第一件事是从防火墙阻止 IP。这将为您争取一点时间,但不会太多,也许只有几分钟。如果 IP 映射到 WhoIs.net 报告的 IP 范围,则阻止 WhoIs 给出的整个 IP 范围。这将阻止该人从其 ISP 请求新 IP 并使用新 IP。几分钟,也许。
然后按照 Mark-Storey Smith 上面所说的去做。
然后添加防火墙或从 DMZ 移动数据库。如果您已经有防火墙并且数据库不在 DMZ 中,则您需要立即进行取证检查,以查看您和防火墙之间的干预服务器是否已被入侵(很可能已经被入侵)。将所有管理员密码更改为非常长的复杂密码——sa、Windows 管理员、域管理员、本地管理员,所有这些。然后检查网络上任何地方的每台服务器,并删除您不认识的任何管理员帐户,或任何已离开公司的前雇员或顾问的帐户。然后病毒和恶意软件扫描每台服务器上的所有内容。
然后进行第二遍并再次检查以上所有内容。
祝你好运。
如果没有防火墙阻止从 Internet 到 SQL Server 的所有网络访问,则不应在公共 Internet 上拥有任何服务器。如果您打开了 1433 端口,那么还有哪些其他端口可以打开?我的猜测是,您有很多对 Internet 开放的端口,如果是这种情况,您可能有人将您的 SQL Server 用于您不希望他们使用的东西。
您需要请专业人员来查看系统并尽快修复您的安全问题。天知道人们有没有成功闯入系统。(是的,我是一名顾问,是的,我可以完成这项工作,不,我并不是说您必须雇用我。)
至少你需要阅读网络安全和数据库安全(我什至有一本关于这个主题的书)并确保你的系统安全。
此时您基本上需要遵循的步骤是......
| 归档时间: |
|
| 查看次数: |
8458 次 |
| 最近记录: |