Tom*_*ean 6 security sql-server logs logins azure-vm
我在 Azure 虚拟机上运行 SQL Server。我在服务器的事件日志中注意到许多失败的 SQL 登录尝试使用大量不同的用户名(都不存在):
用户 'kisadminnew1' 登录失败。原因:找不到与提供的名称匹配的登录名。[客户:124.117.233.94]
用户“djapple”登录失败。原因:找不到与提供的名称匹配的登录名。[客户:124.117.233.94]
用户“中国”登录失败。原因:找不到与提供的名称匹配的登录名。[客户:124.117.233.94]
用户 'vice' 登录失败。原因:找不到与提供的名称匹配的登录名。[客户:124.117.233.94]
总之,一夜之间可能同时进行了数百次随机尝试。
我应该担心这个吗?看起来是否有人试图通过蛮力访问我的 SQL Server,这是否常见?
SQL Server 正在侦听的 TCP 端口是否全局打开?
如果是这样,是的,我会担心。如果存在可以暴力破解或猜测的密码,或者允许某人绕过身份验证的漏洞,最终您的数据库可能会受到威胁。您还容易受到不需要访问的攻击,例如有人通过每秒创建许多失败的登录来填充带有 SQL Server 错误日志的驱动器。
如果 TCP 端口对 Internet 开放,则不需要的登录尝试是正常的。根据我在 ISP 和托管公司工作的经验,如果流量没有被防火墙丢弃,那么暴露在互联网上的机器将整天在众所周知的端口上进行探测(并定期扫描端口)。
另一方面,如果您有明确允许 124.117.233.94 通过的限制性防火墙规则,则该地址的某个客户或同事的计算机可能已遭到入侵。
您目前可以在此处阅读有关控制 Azure 虚拟机流量的信息。一个好的做法是默认删除所有内容并明确只允许您想要的流量。也许其他人会编辑它以添加更多信息。
| 归档时间: |
|
| 查看次数: |
2416 次 |
| 最近记录: |