Możliwy atak na mój serwer SQL?

Sprawdzam mój dziennik SQL Server. Widzę kilka takich wpisów:

Date: 08-11-2011 11:40:42
Source: Logon
Message: Login failed for user 'sa'. Reason: Password did not match for the login provided. [CLIENT: 56.60.156.50]
Date: 08-11-2011 11:40:42
Source: Logon
Message: Error: 18456. Severity: 14. State: 8.


Date: 08-11-2011 11:40:41
Source: Logon
Message: Login failed for user 'sa'. Reason: Password did not match for the login provided. [CLIENT: 56.60.156.50]
Date: 08-11-2011 11:40:41
Source: Logon
Message: Error: 18456. Severity: 14. State: 8.

I tak dalej ... Czy to możliwy atak na mój SQL Server ze strony chińskiej ???! Sprawdziłem adres IP na ip-lookup.net, który stwierdził, że to chiński.

I co robić?

• Zablokować adres IP w zaporze?
• Usunąć użytkownika sa?

Jak najlepiej chronić mój serwer internetowy ?!

Z góry dziękuję!

Jeśli masz zaporę ogniową, dlaczego serwer bazy danych jest narażony na działanie Internetu?

• Zapora ogniowa powinna blokować dostęp do obu serwerów oprócz wymaganych portów. Zwykle byłoby to 80 (http) i 443 (https) TYLKO dla serwera WWW.
• Jeśli (i tylko wtedy) usługa zewnętrzna wymaga dostępu do programu SQL Server, zezwól na dostęp do określonych adresów IP wymaganych w zaporze. Powinno to nastąpić za pośrednictwem połączenia VPN, a nie jawnie ujawnionego 1433.
• Utwórz nowe konto administratora i wyłącz domyślne „sa”.
• Najlepiej przełączyć się z używania uwierzytelniania w trybie mieszanym na konta Windows.

Pierwszą rzeczą, którą powinieneś zrobić, to zgłosić to osobie odpowiedzialnej za bezpieczeństwo sieci i systemów w firmie. Jeśli nie ma takiej osoby, przekaż to administratorowi sieci. Jeśli nie ma takiej osoby, zadzwoń teraz do CIO / CTO - jeszcze lepiej, poproś o kontakt twarzą w twarz - i wyjaśnij sytuację.

Pierwszą rzeczą, którą powinna zrobić osoba, jest zablokowanie adresu IP z zapory. To da ci trochę czasu, ale niewiele, może tylko minuty. Jeśli adres IP jest mapowany na zakres adresów IP zgłoszony przez WhoIs.net, zablokuj cały zakres adresów IP podany przez WhoIs. Uniemożliwi to facetowi zażądanie nowego adresu IP od swojego dostawcy usług internetowych i uzyskanie nowego adresu IP. Może przez kilka minut.

Następnie zrób to, co powiedział Mark-Storey Smith.

Następnie dodaj zaporę ogniową lub przenieś db z DMZ. Jeśli masz już zaporę ogniową, a bazy danych nie ma w strefie DMZ, potrzebujesz natychmiastowej kontroli kryminalistycznej, aby sprawdzić, czy nie naruszono bezpieczeństwa serwerów pośredniczących między tobą a zaporą ogniową (najprawdopodobniej tak). Zmień hasło administratora ALL na bardzo długie hasła - sa, administrator systemu Windows, administratorzy domeny, administratorzy lokalni, WSZYSTKIE Z NICH. Następnie przejrzyj każdy serwer w dowolnym miejscu w sieci i usuń wszelkie konta administratora, których nie rozpoznajesz, ani żadnych byłych pracowników lub konsultantów, którzy opuścili firmę. Następnie wirusy i złośliwe oprogramowanie skanują wszystko na każdym serwerze.

Następnie wykonaj drugie przejście i jeszcze raz sprawdź wszystkie powyższe.

Powodzenia.

Zablokuj wszystkie połączenia z bazą danych, które nie pochodzą z twojego serwera (serwerów). Naprawdę.

Oprócz skonfigurowania zapory ogniowej do blokowania nieautoryzowanego ruchu, nie zapomnij dodać konta Windows do roli sysadmin i WYŁĄCZ konto SA! Wyłącz także uwierzytelnianie SQL.

Nie powinieneś mieć żadnego z serwerów w publicznym Internecie bez zapory blokującej WSZYSTKIE dostęp do sieci z Internetu do serwerów SQL. Jeśli masz otwarty port 1433, jakie inne porty mają być otwarte? Domyślam się, że masz wiele portów otwartych na Internet, a jeśli tak, prawdopodobnie masz ludzi używających twojego SQL Server do rzeczy, których nie chcesz.

Musisz sprowadzić profesjonalistę, aby spojrzał na systemy i jak najszybciej naprawił twoje zabezpieczenia. Bóg wie tylko, czy ludzie skutecznie włamali się do systemu, czy nie. (Tak, jestem konsultantem , tak, mogę wykonać pracę, nie, nie mówię, że musisz mnie zatrudnić.)

Przynajmniej musisz przeczytać o bezpieczeństwie sieci i bezpieczeństwie bazy danych (mam nawet książkę na ten temat) i zabezpieczyć swoje systemy.

Kroki, które zasadniczo musisz wykonać w tym momencie, to ...

1. Skonfiguruj zaporę tak, aby blokowała wszystkie połączenia przychodzące z wyjątkiem tych, których faktycznie potrzebujesz
2. Wykonaj BARDZO dobre skanowanie antywirusowe SQL Server. Jeśli nie masz jeszcze zainstalowanego skanera antywirusowego na serwerze SQL Server, załóż, że jest on zainfekowany i sformatuj maszynę.
3. Skonfiguruj zabezpieczenia bazy danych, postępując zgodnie z najlepszymi praktykami: silne hasła, najmniej uprawnień itp.
4. Wykonaj skanowanie antywirusowe każdego innego serwera w firmie. Jeśli nie mają zainstalowanych skanerów antywirusowych, załóż, że są zainfekowane i sformatuj je.