Isa*_*Lee -1 login hacking windows-server-2008-r2
对过去 2 周发生的事件的快速总结:我们注意到我们的 SQL Server 变得异常缓慢。这是我们的一个本地超级计算组用来运行查询的关键机器。他们经常在我们大学以外的地方与他人合作。我们还为他们的合作者提供直接访问权限,因此它位于公共 IP 空间。
在从 SQL 和 windows 安全日志中注意到有来自亚洲/中国地区的访问尝试后,我们加强了措施,现在只允许 SQL 端口 1433 和 RDP 访问我们的校园网络和我们的合作伙伴校园.
然而,黑客企图似乎仍在发生。仍然有 10 到 20 次/分钟的尝试次数来登录我们的 SQL 机器。当我在事件查看器中查看安全日志时,这是一堵巨大的审计失败墙。
它们的事件 ID 均为 4776,并没有提供太多详细信息。以下是示例事件日志的样子:
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: marvin
Source Workstation: FATBOY
Error Code: 0xc0000064
经过一番挖掘,似乎有人试图用不存在的帐户登录。他们使用的登录帐户名称各不相同,很明显这是黑客企图。他们使用诸如 Admin、administrator、sysadmin、accounting、office、billing 等名称。
现在,我的问题是,有没有一种方法可以防止或加强安全性,使我网络外部的人无法通过 ATTEMPT 事件登录我的服务器?我错误地认为我所要做的就是通过 Windows 防火墙加强 SQL 端口和 RDP 的安全性。对我来说很明显,他们仍然可以尝试在不使用 RDP 的情况下访问机器。有没有人有关于这如何可能的任何细节,有没有办法阻止它?
我担任系统管理员的时间不长,我的主管正在休假。我已经尽了我应有的研究,但仍然想不出任何东西。上周,事件日志显示了更多有用的详细信息,例如源 IP 地址,这使我能够确定它们的来源,从而得出结论,这是一次明显的黑客攻击尝试。
当前的大量登录尝试使事情变慢,以至于我们客户的查询超时。对此的任何帮助或见解将不胜感激。
谢谢!
在服务器前面放置网络防火墙。仅使用 Windows 防火墙就像将银行金库锁上,但前门打开。你允许人们进入银行,他们闯入金库只是时间问题。
在您的网络防火墙(您将要安装的)中,仅允许您的合作伙伴连接所需的服务器端口(SQL - RDP)并且仅允许来自他们的 IP 地址范围的流量。
运行数据包捕获以获取有关黑客尝试的更多详细信息。如果您将服务器交换机端口镜像到工作站交换机端口,您可以在服务器或另一个工作站上运行它。
您已允许一组可能未经您审查的人员访问您的服务器。您还允许他们的网络(未经审查)访问您的服务器。任何一个都可能是黑客攻击的来源。暂时阻止他们的访问,看看这些尝试是否来自他们的网络。
| 归档时间: |
|
| 查看次数: |
2093 次 |
| 最近记录: |