Kemungkinan serangan di server SQL saya?

Memeriksa log SQL Server saya, saya melihat beberapa entri seperti ini:

Date: 08-11-2011 11:40:42
Source: Logon
Message: Login failed for user 'sa'. Reason: Password did not match for the login provided. [CLIENT: 56.60.156.50]
Date: 08-11-2011 11:40:42
Source: Logon
Message: Error: 18456. Severity: 14. State: 8.


Date: 08-11-2011 11:40:41
Source: Logon
Message: Login failed for user 'sa'. Reason: Password did not match for the login provided. [CLIENT: 56.60.156.50]
Date: 08-11-2011 11:40:41
Source: Logon
Message: Error: 18456. Severity: 14. State: 8.

Dan seterusnya .. Apakah ini serangan yang mungkin pada SQL Server saya dari Cina ???! Saya mencari alamat IP di ip-lookup.net yang menyatakan itu adalah bahasa Cina.

Dan apa yang harus dilakukan?

• Blokir alamat IP di firewall?
• Hapus pengguna sa?

Dan bagaimana cara melindungi server web saya yang terbaik ?!

Terima kasih sebelumnya!

Jika Anda memiliki firewall, mengapa server basis data terpapar ke internet?

• Firewall harus memblokir semua akses ke KEDUA server selain dari port yang diperlukan. Biasanya ini adalah 80 (http) dan 443 (https) ke server web SAJA.
• Jika (dan hanya jika) layanan eksternal memerlukan akses ke SQL Server, izinkan akses ke alamat IP tertentu yang diperlukan di firewall. Ini harus terjadi melalui koneksi VPN, tidak diekspos secara terbuka 1433.
• Buat akun administrator baru dan nonaktifkan 'sa' default.
• Lebih disukai, beralih dari menggunakan otentikasi "mode campuran" ke akun windows.

Hal pertama yang harus Anda lakukan adalah melaporkan ini kepada orang yang bertanggung jawab atas keamanan jaringan dan sistem di perusahaan Anda. Jika tidak ada orang seperti itu, buang ini ke administrator jaringan. Jika tidak ada orang seperti itu, hubungi CIO / CTO sekarang - lebih baik lagi, minta tatap muka - dan jelaskan situasinya.

Hal pertama yang harus dilakukan orang adalah memblokir IP dari firewall. Ini akan memberi Anda sedikit waktu, tetapi tidak banyak, mungkin beberapa menit saja. Jika IP memetakan ke rentang IP seperti yang dilaporkan oleh WhoIs.net, blok seluruh rentang IP yang diberikan oleh WhoIs. Itu akan mencegah orang dari meminta IP baru dari ISP-nya dan masuk dengan IP baru. Untuk beberapa menit, mungkin.

Kemudian lakukan apa yang dikatakan Mark-Storey Smith di atas.

Kemudian tambahkan firewall atau pindahkan db dari DMZ. Jika Anda sudah memiliki firewall dan db tidak ada di DMZ, Anda perlu pemeriksaan forensik langsung untuk melihat apakah server yang mengintervensi antara Anda dan firewall telah dikompromikan (kemungkinan besar mereka memilikinya). Ubah SEMUA kata sandi admin menjadi kata sandi yang sangat panjang - sa, Admin Windows, admin domain, admin lokal, ALL OF THEM. Kemudian tinjau setiap server di mana saja di jaringan Anda dan hapus akun admin yang tidak Anda kenal atau apa pun untuk mantan karyawan atau konsultan yang telah meninggalkan perusahaan. Kemudian virus dan malware memindai semua yang ada di setiap server.

Kemudian buat pass kedua dan periksa semua hal di atas sekali lagi.

Semoga berhasil.

Blokir semua koneksi ke database Anda yang tidak berasal dari server web Anda. Betulkah.

Selain mengkonfigurasi firewall untuk memblokir lalu lintas yang tidak sah, jangan lupa untuk menambahkan akun windows Anda ke peran sysadmin dan Nonaktifkan akun SA! Nonaktifkan otentikasi SQL juga.

Anda seharusnya tidak memiliki server di Internet publik tanpa firewall memblokir SEMUA akses jaringan dari Internet ke SQL Server. Jika Anda memiliki port 1433, buka port apa yang harus dibuka? Dugaan saya adalah Anda memiliki banyak port terbuka untuk Internet dan jika itu masalahnya Anda mungkin memiliki orang-orang yang menggunakan SQL Server Anda untuk hal-hal yang tidak Anda inginkan.

Anda perlu membawa seorang profesional untuk melihat sistem dan mendapatkan keamanan Anda secepatnya. Hanya Tuhan yang tahu apakah orang telah berhasil membobol sistem atau tidak. (Ya saya seorang konsultan , ya saya bisa melakukan pekerjaan, tidak, saya tidak mengatakan bahwa Anda harus mempekerjakan saya.)

Paling tidak Anda perlu membaca tentang keamanan jaringan dan keamanan basis data (saya bahkan punya buku tentang masalah ini) dan mendapatkan sistem Anda diamankan.

Langkah-langkah yang pada dasarnya perlu Anda ikuti pada titik ini adalah ...

1. Atur firewall Anda untuk memblokir semua koneksi masuk kecuali yang benar-benar Anda butuhkan
2. Lakukan pemindaian virus SANGAT baik dari SQL Server. Jika Anda belum memiliki pemindai virus yang diinstal pada SQL Server, asumsikan bahwa itu terinfeksi dan format mesin.
3. Menyiapkan keamanan basis data dengan mengikuti praktik terbaik: kata sandi yang kuat, izin minimal, dll.
4. Lakukan pemindaian virus dari setiap server lain di perusahaan. Jika mereka tidak memiliki pemindai virus yang sudah diinstal asumsikan mereka terinfeksi dan memformatnya.