Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
Топик располагается на нескольких страницах: [1] 2 3 4   вперед  Ctrl      все
 Кто-то подбирает пароль к sa  [new]
Пашок
Member

Откуда:
Сообщений: 287
Стоит MS SQL сервер открытый в интернет. Заметили в Event Viewer большое кол-во сообщение Login failed for user SA
Подключали SQL Profiller на Audit Login Failed , видно что с разных хостов идет такой запрос.
Файерволом пользуемся штатным брандмауэр, фактически он закрывает ненужные порты.
Как сечас правильно поступить, пока не проломили пароль? И какими средствами.
5 ноя 07, 20:11    [4876987]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
Crimean
Member

Откуда:
Сообщений: 13148
1) поставить только интегрированную аутентификацию. соответственно под sa нельзя будет физически залогиниться. тогда, вероятно, пойдет атака на win :)

2) поставить для sa жудкий пароль типа newid() - пусть подбирают

3) это лос атака. действовать как при любой дос атаке

4) ваще-то, при 3х кратном неудачном логоне / вызове sp_password надо блокировать как минимум IP, а то и всю подсеть как минимум на полчаса...

p.s.

а зачем он вам открытый в нете?
5 ноя 07, 20:16    [4876996]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
Пашок
Member

Откуда:
Сообщений: 287
quot Crimean]1) поставить только интегрированную аутентификацию. соответственно под sa нельзя будет физически залогиниться. тогда, вероятно, пойдет атака на win :)

2) поставить для sa жудкий пароль типа newid() - пусть подбирают

3) это лос атака. действовать как при любой дос атаке

4) ваще-то, при 3х кратном неудачном логоне / вызове sp_password надо блокировать как минимум IP, а то и всю подсеть как минимум на полчаса...

p.s.

а зачем он вам открытый в нете?[/quot]

А как сделать 4й пункт ?

в инет смотрит, т.к. много пользователей с динамическим IP
5 ноя 07, 20:21    [4877009]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
Пашок
Member

Откуда:
Сообщений: 287
ваще-то, при 3х кратном неудачном логоне / вызове sp_password надо блокировать как минимум IP, а то и всю подсеть как минимум на полчаса...
--сейчас думаем как понять с какого IP идет атака
5 ноя 07, 20:29    [4877018]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
Crimean
Member

Откуда:
Сообщений: 13148
Пашок
ваще-то, при 3х кратном неудачном логоне / вызове sp_password надо блокировать как минимум IP, а то и всю подсеть как минимум на полчаса...
--сейчас думаем как понять с какого IP идет атака


роутер вам в помощь и вот это
http://freetds.org/tds.html
по крайней мере логон пакеты отловите при помощи этого
5 ноя 07, 20:33    [4877021]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
ziktuw
Member

Откуда:
Сообщений: 3553
Порт смени со стандартного 1433 на что-нибудь более 30000. Иначе сервер светиться для хакеров как фонарь для мотылков.

----------------------------------------------------------------
Да полно-те Вам. Не стоит благодарности.
6 ноя 07, 10:16    [4878056]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
VladimirKr
Member

Откуда: СПб
Сообщений: 1050
У меня такое было. Сам не специалист по этим хакерским атакам, вызвал спецов. Они, кроме всего прочего, локализовали IP. Какой-то комп в Голландии. Как мне пояснили, это скорее всего не злоумышленник, а комп зараженный вирусом (имена вирусов мне сказали, но я щас не помню...)
6 ноя 07, 10:33    [4878172]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
SeVa
Member [заблокирован]

Откуда: Москва
Сообщений: 4324
Поставьте ISA или аналог, организуйте VPN или доступ только с определенных IP адресов.
6 ноя 07, 11:42    [4878685]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
BusyMan
Member

Откуда: Москва
Сообщений: 4927
Crimean
2) поставить для sa жудкий пароль типа newid() - пусть подбирают


	SELECT SUBSTRING( replace(CONVERT(VARCHAR(200), NEWID()), '-',''), 1, 20)
	+ convert(varchar(200), abs( checksum( newid ()  )))


6 ноя 07, 12:02    [4878821]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
MZH
Member

Откуда: Moscow
Сообщений: 3886
Пашок
Файерволом пользуемся штатным брандмауэр, фактически он закрывает ненужные порты.

Если не чувствуете к себе склонности к мазохизму, то смените тактику использования файрвола с "закрывать ненужное" на "открывать только нужное". И сервер защитите, и на трафике сэкономите.
6 ноя 07, 12:49    [4879232]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
Пашок
Member

Откуда:
Сообщений: 287
--Поставьте ISA или аналог, организуйте VPN или доступ только с определенных IP адресов.
К сожалению не могу. Все любят это советовать, но я не могу послать к черту тех людей, у который IP динамический.
6 ноя 07, 15:02    [4880248]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
Пашок
Member

Откуда:
Сообщений: 287
А софта такого никто не знает, который бы видел такие ситуации и блокировал IP откуда обращаются.
6 ноя 07, 15:04    [4880269]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
Anatoly Podgoretsky
Member

Откуда:
Сообщений: 62926
Пашок
--Поставьте ISA или аналог, организуйте VPN или доступ только с определенных IP адресов.
К сожалению не могу. Все любят это советовать, но я не могу послать к черту тех людей, у который IP динамический.

VPN не хочешь, разрешеные ИП не хочешь, тогда работай с сертификатами.
6 ноя 07, 15:07    [4880288]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
Пашок
Member

Откуда:
Сообщений: 287
Anatoly Podgoretsky
Пашок
--Поставьте ISA или аналог, организуйте VPN или доступ только с определенных IP адресов.
К сожалению не могу. Все любят это советовать, но я не могу послать к черту тех людей, у который IP динамический.

VPN не хочешь, разрешеные ИП не хочешь, тогда работай с сертификатами.


а можно поподробнее ?
6 ноя 07, 15:22    [4880396]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
MZH
Member

Откуда: Moscow
Сообщений: 3886
Извините за любопытство, но у вас удаленные клиенты подключаются к MS SQL, установленному на сервере?
Если нет, то не вижу смысла открывать наружу такие опасные порты. Если да, то не вижу смысла давать какие-либо рекомендации.
6 ноя 07, 15:38    [4880510]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
Glory
Member

Откуда:
Сообщений: 104764
Пашок
А софта такого никто не знает, который бы видел такие ситуации и блокировал IP откуда обращаются.

Стандартный windows firewall позволит вам задать диапазон адресов, с которых врзможен доступ к вашему серверу
6 ноя 07, 15:41    [4880537]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
Пашок
Member

Откуда:
Сообщений: 287
MZH
Извините за любопытство, но у вас удаленные клиенты подключаются к MS SQL, установленному на сервере?
Если нет, то не вижу смысла открывать наружу такие опасные порты. Если да, то не вижу смысла давать какие-либо рекомендации.


Да, удаленные подключаются к MS SQL
6 ноя 07, 17:34    [4881314]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
Пашок
Member

Откуда:
Сообщений: 287
Glory
Пашок
А софта такого никто не знает, который бы видел такие ситуации и блокировал IP откуда обращаются.

Стандартный windows firewall позволит вам задать диапазон адресов, с которых врзможен доступ к вашему серверу


У меня 200 пользователей и все подключаются с разных точек, кто на стриме работает, где динамический IP, кто-то с мобильным инетом, есть люди, которых я вообще не знаю, они используют некий софт. Представьте, что это сервер обновлений, куда подключается некая программа, чтобы что-то для себя обновить. Где не известно, кто и откуда подключатеся, поэтому самый простой вариант дать доступ нужным статическим IP не проходит. Но жить, как то нужно!
6 ноя 07, 17:39    [4881351]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
Glory
Member

Откуда:
Сообщений: 104764
Пашок
Glory
Пашок
А софта такого никто не знает, который бы видел такие ситуации и блокировал IP откуда обращаются.

Стандартный windows firewall позволит вам задать диапазон адресов, с которых врзможен доступ к вашему серверу


У меня 200 пользователей и все подключаются с разных точек, кто на стриме работает, где динамический IP, кто-то с мобильным инетом, есть люди, которых я вообще не знаю, они используют некий софт. Представьте, что это сервер обновлений, куда подключается некая программа, чтобы что-то для себя обновить. Где не известно, кто и откуда подключатеся, поэтому самый простой вариант дать доступ нужным статическим IP не проходит. Но жить, как то нужно!

Запрещаем всем. Кому действительно нужно, те найдут способ сообщить в службу поддержки и их адреса добавят в список разрешенных
6 ноя 07, 17:46    [4881389]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
Пашок
Member

Откуда:
Сообщений: 287
Glory
Пашок
Glory
Пашок
А софта такого никто не знает, который бы видел такие ситуации и блокировал IP откуда обращаются.

Стандартный windows firewall позволит вам задать диапазон адресов, с которых врзможен доступ к вашему серверу


У меня 200 пользователей и все подключаются с разных точек, кто на стриме работает, где динамический IP, кто-то с мобильным инетом, есть люди, которых я вообще не знаю, они используют некий софт. Представьте, что это сервер обновлений, куда подключается некая программа, чтобы что-то для себя обновить. Где не известно, кто и откуда подключатеся, поэтому самый простой вариант дать доступ нужным статическим IP не проходит. Но жить, как то нужно!

Запрещаем всем. Кому действительно нужно, те найдут способ сообщить в службу поддержки и их адреса добавят в список разрешенных


А если у него динамический IP, а если он не знает вообще, что такое IP !
6 ноя 07, 17:51    [4881426]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
Ennor Tiegael
Member

Откуда:
Сообщений: 3141
На предыдущей работе админил именно такую систему - голый TDS гонялся по открытым каналам через интернет. Соответственно, в списке требований для подключающихся агентов было, помимо всего прочего, и наличие статического выделенного IP - чтобы этот агент всегда шел только с него и чтобы никто, кроме него, больше с этого адреса прийти не мог.
А шлюз, соответственно, был настроен на пропуск пакетов только из этого белого списка - для остальных он работал в режиме черной дыры.

Только так, и никак иначе...
6 ноя 07, 17:52    [4881434]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
Ennor Tiegael
Member

Откуда:
Сообщений: 3141
Пашок
А если у него динамический IP, а если он не знает вообще, что такое IP !
Это его проблемы. В любом случае, неграмотность одного человека - не повод ставить под удар всю систему.
6 ноя 07, 17:53    [4881441]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
Glory
Member

Откуда:
Сообщений: 104764
Пашок

А если у него динамический IP, а если он не знает вообще, что такое IP !

А вы тоже не знаете, что такое IP и как на файерволе логировать запросы доступа ?
6 ноя 07, 17:54    [4881450]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
Crazy_Driver
Member

Откуда: α2000 = 14ч39м36с,5, δ2000 = -60°50'02"
Сообщений: 876
ИМХО, можно поднять VPN-сервер и написать пользователям инструкцию по подключению. В итоге наружу будет торчать только порт VPN и авторизовать пользователей Windows-авторизацией. И SQL Server не будет торчать наружу и данные будут бегать в зашифрованном виде.
6 ноя 07, 18:00    [4881497]     Ответить | Цитировать Сообщить модератору
 Re: Кто-то подбирает пароль к sa  [new]
Пашок
Member

Откуда:
Сообщений: 287
Glory
Пашок

А если у него динамический IP, а если он не знает вообще, что такое IP !

А вы тоже не знаете, что такое IP и как на файерволе логировать запросы доступа ?


ЧТо такое IP, я знаю, а как смотреть IP на файерволе я не знаю.

Я могу такие примеры привести, сервер обновлений майкрософт, сервер обновлений любого антивируса, сервер любого провайдера. Там никто не просит вас дать свой IP. Но ведь работают!
6 ноя 07, 18:09    [4881554]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: [1] 2 3 4   вперед  Ctrl      все
Все форумы / Microsoft SQL Server Ответить