Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 Неудачныве входы (как узнать вводимы пароль)  [new]
982183
Member

Откуда: VL
Сообщений: 3354
Cтоит MSSQL 2008 R2
база выставленна в инет.

В логах постоянно.
Login failed for user '**разное**'. Причина: не найдено имя входа<c/> соответствующее переданному имени.

Нехорошие IP блокирую.
Но попадаются неудачные входы и от нужных клиентов.

Как узнать - какой пароль они вводили?
Хранится ли это где то?
10 сен 15, 12:31    [18132137]     Ответить | Цитировать Сообщить модератору
 Re: Неудачныве входы (как узнать вводимы пароль)  [new]
aleks2
Guest
Здравствуй, дорогой хакер.

Никак не узнать - это одна из главных задач систем авторизации.
10 сен 15, 12:53    [18132287]     Ответить | Цитировать Сообщить модератору
 Re: Неудачныве входы (как узнать вводимы пароль)  [new]
982183
Member

Откуда: VL
Сообщений: 3354
Плохо, что не могу в собственной базу узнать кто как пытается в неё войти.
10 сен 15, 12:59    [18132328]     Ответить | Цитировать Сообщить модератору
 Re: Неудачныве входы (как узнать вводимы пароль)  [new]
Glory
Member

Откуда:
Сообщений: 104760
982183
кто как пытается в неё войти.

Кто - failed for user '**разное**
Как - "не найдено имя входа<c/> соответствующее переданному имени. "
Почему вы решили, что кто-то обязательно вводит пароль ?
10 сен 15, 13:02    [18132347]     Ответить | Цитировать Сообщить модератору
 Re: Неудачныве входы (как узнать вводимы пароль)  [new]
felix_ff
Member

Откуда: Moscow
Сообщений: 1424
982183,


есть некоторая разница в формулировке:
"Плохо, что не могу в собственной базу узнать кто как пытается в неё войти."

и

"Как узнать - какой пароль они вводили?"

не находите?
10 сен 15, 13:49    [18132694]     Ответить | Цитировать Сообщить модератору
 Re: Неудачныве входы (как узнать вводимы пароль)  [new]
982183
Member

Откуда: VL
Сообщений: 3354
Ок.
Подзадача 1

Китайский хакер долбит мой SQL.
автор
Дата,Источник,Серьезность,Сообщение
09/10/2015 15:02:13,Вход,Неизвестно,Login failed for user 'wwo'. Причина: не найдено имя входа<c/> соответствующее переданному имени. [КЛИЕНТ: 223.4.239.227]
09/10/2015 15:02:13,Вход,Неизвестно,Ошибка: 18456<c/> серьезность: 14<c/> состояние: 5.
09/10/2015 15:02:13,Вход,Неизвестно,Login failed for user 'sa'. Причина: пароль не соответствует переданному имени входа. [КЛИЕНТ: 223.4.239.227]
09/10/2015 15:02:13,Вход,Неизвестно,Ошибка: 18456<c/> серьезность: 14<c/> состояние: 8.
09/10/2015 15:02:13,Вход,Неизвестно,Login failed for user 'sa'. Причина: пароль не соответствует переданному имени входа. [КЛИЕНТ: 223.4.239.227]
09/10/2015 15:02:13,Вход,Неизвестно,Ошибка: 18456<c/> серьезность: 14<c/> состояние: 8.
09/10/2015 15:02:13,Вход,Неизвестно,Login failed for user 'wwo'. Причина: не найдено имя входа<c/> соответствующее переданному имени. [КЛИЕНТ: 223.4.239.227]
09/10/2015 15:02:13,Вход,Неизвестно,Ошибка: 18456<c/> серьезность: 14<c/> состояние: 5.
09/10/2015 15:02:12,Вход,Неизвестно,Login failed for user 'sa'. Причина: пароль не соответствует переданному имени входа. [КЛИЕНТ: 223.4.239.227]
09/10/2015 15:02:12,Вход,Неизвестно,Ошибка: 18456<c/> серьезность: 14<c/> состояние: 8.
09/10/2015 15:02:12,Вход,Неизвестно,Login failed for user 'sa'. Причина: пароль не соответствует переданному имени входа. [КЛИЕНТ: 223.4.239.227]
09/10/2015 15:02:12,Вход,Неизвестно,Ошибка: 18456<c/> серьезность: 14<c/> состояние: 8.
09/10/2015 15:02:12,Вход,Неизвестно,Login failed for user 'sa'. Причина: пароль не соответствует переданному имени входа. [КЛИЕНТ: 223.4.239.227]
09/10/2015 15:02:12,Вход,Неизвестно,Ошибка: 18456<c/> серьезность: 14<c/> состояние: 8.
09/10/2015 15:02:12,Вход,Неизвестно,Login failed for user 'wwo'. Причина: не найдено имя входа<c/> соответствующее переданному имени. [КЛИЕНТ: 223.4.239.227]
09/10/2015 15:02:12,Вход,Неизвестно,Ошибка: 18456<c/> серьезность: 14<c/> состояние: 5.
09/10/2015 15:02:12,Вход,Неизвестно,Login failed for user 'sa'. Причина: пароль не соответствует переданному имени входа. [КЛИЕНТ: 223.4.239.227]
09/10/2015 15:02:12,Вход,Неизвестно,Ошибка: 18456<c/> серьезность: 14<c/> состояние: 8.
09/10/2015 15:02:12,Вход,Неизвестно,Login failed for user 'sa'. Причина: пароль не соответствует переданному имени входа. [КЛИЕНТ: 223.4.239.227]
09/10/2015 15:02:12,Вход,Неизвестно,Ошибка: 18456<c/> серьезность: 14<c/> состояние: 8.
09/10/2015 15:02:12,Вход,Неизвестно,Login failed for user 'sa'. Причина: пароль не соответствует переданному имени входа. [КЛИЕНТ: 223.4.239.227]


Бан ip адресов не помогает.
Атакующий ip оперативно меняется.
Сделать белые ip не могу.
Много мобильных клиентов.

Надо узнать - какой диапазон паролей он подбирает.
10 сен 15, 13:50    [18132701]     Ответить | Цитировать Сообщить модератору
 Re: Неудачныве входы (как узнать вводимы пароль)  [new]
982183
Member

Откуда: VL
Сообщений: 3354
felix_ff
982183,
есть некоторая разница в формулировке:
"Плохо, что не могу в собственной базу узнать кто как пытается в неё войти."
и
"Как узнать - какой пароль они вводили?"
не находите?

Не вижу "разницы". Просто вы не то слово выделили.
Хочется узнать КАК они пытаются войти в базу, какие пароли пытаются подобрать.
10 сен 15, 13:53    [18132714]     Ответить | Цитировать Сообщить модератору
 Re: Неудачныве входы (как узнать вводимы пароль)  [new]
Glory
Member

Откуда:
Сообщений: 104760
982183
Хочется узнать КАК они пытаются войти в базу, какие пароли пытаются подобрать.

Они пытаются соединиться с сервером, а не войти в базу
10 сен 15, 13:56    [18132730]     Ответить | Цитировать Сообщить модератору
 Re: Неудачныве входы (как узнать вводимы пароль)  [new]
Jovanny
Member

Откуда:
Сообщений: 1195
982183
какие пароли пытаются подобрать.
А какая Вам от этих знаний будет польза?

https://www.google.com/search?q=базы паролей для брута&ie=utf-8&oe=utf-8
10 сен 15, 13:59    [18132748]     Ответить | Цитировать Сообщить модератору
 Re: Неудачныве входы (как узнать вводимы пароль)  [new]
982183
Member

Откуда: VL
Сообщений: 3354
Glory
Они пытаются соединиться с сервером, а не войти в базу

А не всё ли равно?


База паролей не поможет.
Есть большая вероятность "ухода" старых паролей.
И есть необходимость отслеживания попыток их использования.


Задача2
Звонит клиент в техподдержку и говорит, что не мог "войти в базу"/"соединиться с сервером"
Соответственно надо понять что он вводил в качестве пароля.
10 сен 15, 14:38    [18133025]     Ответить | Цитировать Сообщить модератору
 Re: Неудачныве входы (как узнать вводимы пароль)  [new]
Glory
Member

Откуда:
Сообщений: 104760
982183
А не всё ли равно?

Понимаете, когда человек называет телевизор холодильником, то сразу как-то падает доверие к сообщаемой этим человеком информацмм. Потому что он и другие вещи называть какими-то своими именами

982183
База паролей не поможет.
Есть большая вероятность "ухода" старых паролей.
И есть необходимость отслеживания попыток их использования.

А где вы в сообщениях увидели хоть что-то про пароль ?

982183
Задача2
Звонит клиент в техподдержку и говорит, что не мог "войти в базу"/"соединиться с сервером"
Соответственно надо понять что он вводил в качестве пароля.

Никто не должен знать пароль пользователя. Кроме самого пользователя.
10 сен 15, 14:42    [18133062]     Ответить | Цитировать Сообщить модератору
 Re: Неудачныве входы (как узнать вводимы пароль)  [new]
Konst_One
Member

Откуда:
Сообщений: 11537
982183
Glory
Они пытаются соединиться с сервером, а не войти в базу

А не всё ли равно?


База паролей не поможет.
Есть большая вероятность "ухода" старых паролей.
И есть необходимость отслеживания попыток их использования.


Задача2
Звонит клиент в техподдержку и говорит, что не мог "войти в базу"/"соединиться с сервером"
Соответственно надо понять что он вводил в качестве пароля.


весело как, а вы и пароли клиентов у себя в базе что-ли в явном виде храните?
10 сен 15, 14:42    [18133064]     Ответить | Цитировать Сообщить модератору
 Re: Неудачныве входы (как узнать вводимы пароль)  [new]
komrad
Member

Откуда:
Сообщений: 5249
982183
Ок.
Подзадача 1

Китайский хакер долбит мой SQL.


ну если китайский, то пароль простой - маодзедун
как в том анекдоте про сервер пентагона ;)
10 сен 15, 20:31    [18134859]     Ответить | Цитировать Сообщить модератору
 Re: Неудачныве входы (как узнать вводимы пароль)  [new]
Balbidon
Member

Откуда: Donetsk->Emerald City
Сообщений: 345
А зачем у вас sa включен на сервере, выставленном в инет? Вдруг подберёт-таки вражина?
10 сен 15, 23:21    [18135334]     Ответить | Цитировать Сообщить модератору
 Re: Неудачныве входы (как узнать вводимы пароль)  [new]
Mind
Member

Откуда: Лучший город на Земле
Сообщений: 2322
Сложно даже представить, что у вас там за бардак творится, особенно в голове.
982183
Есть большая вероятность "ухода" старых паролей.
И есть необходимость отслеживания попыток их использования.
Какое вам дело до старых паролей? У вас там что все под одним пользователем сидят? Да и что такое вообще "старый пароль"? Откуда вы знаете какой старый, какой новый? Вы наверное еще и пароли сами меняете, а потом пользователям присылаете - типа вот вам новый пароль, пользуйтесь им, без возможности сменить?

982183
Задача2
Звонит клиент в техподдержку и говорит, что не мог "войти в базу"/"соединиться с сервером"
Соответственно надо понять что он вводил в качестве пароля.
Какая разница что он вводил? Или вы у себя в экселе, в списке паролей, посмотрите и сравните, правильный он пароль вводил или нет?
11 сен 15, 03:14    [18135564]     Ответить | Цитировать Сообщить модератору
 Re: Неудачныве входы (как узнать вводимы пароль)  [new]
aleks2
Guest
1. Нечто, торчащее голой жопой в публичное место, всегда будет подвержено атакам.
2. Ни одна система авторизации пароль НЕ передает. Те, что передают - это не системы авторизации. Это радость хакера.
3. Поэтому, ничего из "мечтаемого" тредстартером невозможно. Невозможно отличить "добросовестную ошибку" от "хакерской атаки".
4. Если же подходить практичнее, то можно попробовать разгрузить MS SQL от непрофильной работы - давание отлупа хакерам.
5. Использование VPN-подключения - пример такой специализированной системы авторизации. Специализированные системы авторизации хороши еще и тем, что способны на некоторые автоматические ответные действия. Например, отказ в дальнейших попытках авторизации при слишком большом числе попыток или блокирование учетки (!!!палка имеет весьма болезненный второй конец). Или банальная задержка между попытками авторизации. Или даже бан IP, при множественных неудачных попытках войти под разными именами.
11 сен 15, 07:49    [18135700]     Ответить | Цитировать Сообщить модератору
 Re: Неудачныве входы (как узнать вводимы пароль)  [new]
red88888
Member

Откуда:
Сообщений: 130
Пароль узнать нельзя! Он никогда не передается, передаются только зашифрованные ключом (читай, паролем) сообщения.

Вопрос на засыпку, можно ли узнать имя пользователя, под которым долбится? Или оно тоже недоступно?
11 сен 15, 10:10    [18136141]     Ответить | Цитировать Сообщить модератору
 Re: Неудачныве входы (как узнать вводимы пароль)  [new]
red88888
Member

Откуда:
Сообщений: 130
red88888,

да, уже понял))
11 сен 15, 10:11    [18136147]     Ответить | Цитировать Сообщить модератору
 Re: Неудачныве входы (как узнать вводимы пароль)  [new]
982183
Member

Откуда: VL
Сообщений: 3354
[quot red88888Вопрос на засыпку, можно ли узнать имя пользователя, под которым долбится? Или оно тоже недоступно?[/quot]

Да. Имя видно в логах. как и IP
Логи выше прилагал
24 сен 15, 10:38    [18188566]     Ответить | Цитировать Сообщить модератору
 Re: Неудачныве входы (как узнать вводимы пароль)  [new]
нашел возможность потрудиться
Guest
982183,

ты по ip руками что ли банишь?
24 сен 15, 11:04    [18188705]     Ответить | Цитировать Сообщить модератору
 Re: Неудачныве входы (как узнать вводимы пароль)  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 7868
982183,

причем здесь пароль, если неверное имя входа.
24 сен 15, 11:28    [18188854]     Ответить | Цитировать Сообщить модератору
 Re: Неудачныве входы (как узнать вводимы пароль)  [new]
SFlash
Member

Откуда:
Сообщений: 143
aleks2
1. Нечто, торчащее голой жопой в публичное место, всегда будет подвержено атакам.

Balbidon
А зачем у вас sa включен на сервере, выставленном в инет? Вдруг подберёт-таки вражина?


Это просто жесть. Топикстартеру срочно читать про защиту открытых в инет сервисов.... Хотя не имея опыта можно и такого нагородить.... Лучше к нормальному админу обратитесь.
Как минимум при открытом наружу SQL порт должен быть сменен на другой случайный + минимальный firewall должен стоять, чтоб сервер сидел тихонько и в инет не отсвечивал. Китайские братья ушлые, и их много, даже по неосторожности, без "злого умысла" за-DDOS-ить могут. Они светящиеся IP любят, по опыту знаю.
Это вы по логам SQL видите неудачные попытки входа, но могу предположить что это только не больше 10%, остальные попытки коннектов на саму систему приходятся и что та на ней у вас еще есть.
25 сен 15, 12:23    [18194306]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить