मेरे SQL सर्वर पर संभावित हमला?

15

अपने SQL सर्वर लॉग की जाँच करने पर मुझे इस तरह की कई प्रविष्टियाँ दिखाई देती हैं:

Date: 08-11-2011 11:40:42
Source: Logon
Message: Login failed for user 'sa'. Reason: Password did not match for the login provided. [CLIENT: 56.60.156.50]
Date: 08-11-2011 11:40:42
Source: Logon
Message: Error: 18456. Severity: 14. State: 8.


Date: 08-11-2011 11:40:41
Source: Logon
Message: Login failed for user 'sa'. Reason: Password did not match for the login provided. [CLIENT: 56.60.156.50]
Date: 08-11-2011 11:40:41
Source: Logon
Message: Error: 18456. Severity: 14. State: 8.

और इसी तरह .. क्या यह चीनी से मेरे SQL सर्वर पर एक संभावित हमला है ??? मैंने ip-lookup.net पर आईपी एड्रेस देखा, जिसमें कहा गया था कि यह चीनी था।

और क्या कर?

  • फ़ायरवॉल में IP एड्रेस को ब्लॉक करें?
  • उपयोगकर्ता सा हटाएं?

और मैं अपने वेब सर्वर की सुरक्षा कैसे करूं?

अग्रिम में धन्यवाद!

sql-server  sql-server-2008 
Behrens
स्रोत

जवाबों:

30

यदि आपके पास एक फ़ायरवॉल है, तो डेटाबेस सर्वर इंटरनेट के संपर्क में क्यों है?

  • फ़ायरवॉल को आवश्यक बंदरगाहों के अलावा सभी बीओटीएच सर्वरों तक पहुंच को रोकना चाहिए। आमतौर पर यह केवल वेब सर्वर पर 80 (http) और 443 (https) होगा।
  • यदि (और केवल अगर) बाहरी सेवा को SQL सर्वर तक पहुंच की आवश्यकता होती है, तो फ़ायरवॉल पर आवश्यक विशिष्ट आईपी पते तक पहुंच की अनुमति दें। यह वीपीएन कनेक्शन के माध्यम से होना चाहिए, खुले तौर पर 1433 से उजागर नहीं होना चाहिए।
  • एक नया व्यवस्थापक खाता बनाएं और डिफ़ॉल्ट 'sa' को अक्षम करें।
  • अधिमानतः, विंडोज़ खातों के लिए "मिश्रित मोड" प्रमाणीकरण का उपयोग करने से स्विच करें।
मार्क स्टोरी-स्मिथ
स्रोत
10

पहली चीज जो आपको करनी चाहिए वह यह है कि आपकी कंपनी में नेटवर्क और सिस्टम सुरक्षा के लिए जिम्मेदार व्यक्ति को रिपोर्ट करें। यदि ऐसा कोई व्यक्ति नहीं है, तो इसे नेटवर्क व्यवस्थापक को फेंक दें। यदि ऐसा कोई व्यक्ति नहीं है, तो अभी CIO / CTO को कॉल करें - बेहतर अभी तक, स्थिति का सामना करने की मांग करें - और स्थिति की व्याख्या करें।

पहली चीज जो व्यक्ति को करनी चाहिए वह फ़ायरवॉल से आईपी को ब्लॉक करना है। यह आपको थोड़ा समय देगा, लेकिन ज्यादा नहीं, शायद मिनट ही। यदि IP IP की उस श्रेणी में मैप करता है, जो WhoIs.net द्वारा रिपोर्ट की गई है, तो WhoIs द्वारा दी गई संपूर्ण IP रेंज को ब्लॉक करें। यह उस व्यक्ति को अपने आईएसपी से एक नया आईपी अनुरोध करने और नए आईपी के साथ मिलने से रोकेगा। कुछ मिनटों के लिए, शायद।

फिर ऊपर मार्क-स्‍टोर स्मिथ जो कहते हैं वह करते हैं।

फिर या तो एक फ़ायरवॉल जोड़ें या डीएमजेड से डीबी को स्थानांतरित करें। यदि आपके पास पहले से ही एक फ़ायरवॉल है और डीएमजेड में डीबी नहीं है, तो आपको यह देखने के लिए तत्काल फोरेंसिक जांच की आवश्यकता है कि क्या आपके और फ़ायरवॉल के बीच के सर्वर में हस्तक्षेप किया गया है (सबसे अधिक संभावना है कि वे हैं)। सभी व्यवस्थापक पासवर्ड को बहुत लंबे जटिल पासवर्ड में बदलें - sa, Windows व्यवस्थापक, डोमेन व्यवस्थापक, स्थानीय व्यवस्थापक, सभी का। फिर अपने नेटवर्क पर हर जगह हर सर्वर की समीक्षा करें और अपने द्वारा छोड़े गए किसी भी कर्मचारी या सलाहकार को पहचानने वाले किसी भी एडमिन अकाउंट को न हटाएं। फिर वायरस और मैलवेयर हर सर्वर पर सब कुछ स्कैन करते हैं।

फिर एक दूसरा पास बनाएं और उपरोक्त सभी को एक बार फिर से जांचें।

सौभाग्य।

bretlowery
स्रोत
2
संभावना बहुत अच्छी है कि सर्वर पर हमला करने वाला व्यक्ति अपने कंप्यूटर के सामने एक के बाद एक पासवर्ड की कोशिश में नहीं बैठा है। यह शायद एक वितरित बोटनेट है जो सिर्फ छिद्रों की तलाश में है। इंटरनेट पर आपके द्वारा उजागर की जाने वाली हर तरह की सेवा के लिए इस प्रकार का हमला आम है। इसलिए पहला कदम एक आईपी को ब्लॉक करना नहीं है, बल्कि एडमिन पासवर्ड और यूजरनेम बदलना है। यदि यह एक अच्छा पासवर्ड है, तो यह सरल कदम आपको वर्ष खरीदेगा, मिनट नहीं।
फिल
8

अपने डेटाबेस के सभी कनेक्शन ब्लॉक करें जो आपके वेब सर्वर (एस) से उत्पन्न नहीं होते हैं। वास्तव में।

एंटटी रयोटोला
स्रोत
वर्तमान में SQL सर्वर ऐसा नहीं कर सकता। ऐसा करने के लिए आपको एक फ़ायरवॉल या विंडोज पर निर्भर होना पड़ेगा। इस देखें blogs.msdn.com/b/sql_protocols/archive/2006/04/10/572605.aspx
Dharmendar कुमार 'डीके'
8

अनधिकृत ट्रैफ़िक को ब्लॉक करने के लिए फ़ायरवॉल को कॉन्फ़िगर करने के अलावा, अपने विंडोज़ खाते को sadadmin की भूमिका में जोड़ना न भूलें और SA अकाउंट को डिसेबल करें! SQL प्रमाणीकरण भी अक्षम करें।

datagod
स्रोत
8

आपके पास सार्वजनिक इंटरनेट पर आपका कोई भी सर्वर नहीं होना चाहिए, बिना फ़ायरवॉल के इंटरनेट सर्वर से SQL सर्वर तक सभी नेटवर्क एक्सेस को अवरुद्ध करना। यदि आपको पोर्ट 1433 खुला है, तो अन्य पोर्ट क्या खुले हैं? मेरा अनुमान है कि आपने इंटरनेट पर बहुत सारे पोर्ट खोल रखे हैं और अगर ऐसा है तो शायद आपके पास ऐसे लोग हैं जो अपने एसक्यूएल सर्वर का इस्तेमाल उन चीजों के लिए करते हैं जो आप उन्हें नहीं चाहते हैं।

आपको सिस्टम को देखने और अपनी सुरक्षा को निश्चित ASAP प्राप्त करने के लिए एक पेशेवर में लाने की आवश्यकता है। भगवान ही जानता है कि लोग सिस्टम में सफलतापूर्वक टूट गए हैं या नहीं। (हां मैं एक सलाहकार हूं , हां मैं काम कर सकता हूं, नहीं मैं यह नहीं कह रहा हूं कि आपको मुझे काम पर रखना होगा।)

बहुत कम से कम आपको नेटवर्क सुरक्षा और डेटाबेस सुरक्षा पर पढ़ने की आवश्यकता है (मेरे पास विषय पर एक पुस्तक भी है ) और अपने सिस्टम को सुरक्षित रखें।

मूल रूप से इस बिंदु पर आपको जिन चरणों का पालन करने की आवश्यकता है वे हैं ...

  1. उन सभी इनबाउंड कनेक्शनों को ब्लॉक करने के लिए अपने फ़ायरवॉल को सेट करें, जिन्हें आप वास्तव में चाहते हैं
  2. SQL सर्वर का एक बहुत अच्छा वायरस स्कैन करें। यदि आपके पास पहले से ही SQL सर्वर पर वायरस स्कैनर स्थापित नहीं है, तो मान लें कि यह संक्रमित है और मशीन को प्रारूपित करता है।
  3. सबसे अच्छी प्रथाओं के बाद डेटाबेस सुरक्षा सेट करें: मजबूत पासवर्ड, कम से कम अनुमतियाँ, आदि।
  4. कंपनी के हर दूसरे सर्वर का वायरस स्कैन करें। यदि उनके पास पहले से स्थापित वायरस के स्कैनर नहीं हैं, तो वे संक्रमित हैं और उन्हें प्रारूपित करें।
mrdenny
स्रोत
समस्या यह है, कि मुझे वास्तव में पता नहीं है कि मुझे कौन से इनबाउंड कनेक्शन की आवश्यकता है, और मेरा बजट मुझे एक किराए पर लेने की अनुमति नहीं देता है। --- मैं अपने सर्वर को एक मेलस्वर के रूप में भी उपयोग कर रहा हूं, जिससे मुझे पॉप 3, इमैप और एसएमटीपी पोर्ट की आवश्यकता होती है। मैं अपने वेबपेजों को अपलोड करने के लिए FTP का उपयोग कर रहा हूं, SQL सर्वर और PLESK के रूप में MSSQL स्थापित हैं (HORDE वेबमेल सहित)। --- वह मूल रूप से मेरा सेटअप है। - मैंने एसक्यूएस एसए एएनएम का नाम बदलकर निष्क्रिय कर दिया है और विंडोज एडमिनिस्ट्रेटर एसीसी का नाम बदल दिया है।
Behrens
मेरे फ़ायरवॉल सेटिंग्स हैं: oltm.dk/x/settings.jpg - मेरे भीतर का नियम हैं: oltm.dk/x/inbound.txt - मेरी आउटबाउंड नियम हैं: oltm.dk/x/outbound.txt - शायद तुम मुझे सेटिंग्स की जाँच करने और उन नियमों को हटाने में मदद करें जिनकी आवश्यकता नहीं है? --- सूचीबद्ध नियम केवल वही हैं जो सक्षम हैं। सभी विकलांग दिखाए जाते हैं नहीं (वे सक्रिय वैसे भी नहीं हैं?)
Behrens
@erizias आप अपने फ़ायरवॉल की स्थापना मदद की जरूरत है, तो आप पर सही उत्तर मिल सकता है सुपर उपयोगकर्ता या संभवतः सर्वर दोष या शायद सूचना सुरक्षा
jcolebrand
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.