Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
Топик располагается на нескольких страницах: Ctrl  назад   1 [2] 3   вперед  Ctrl      все
 Re: Попытка взломать базу  [new]
Jovanny
Member

Откуда:
Сообщений: 1195
Давайте по порядку.

1. База находится на арендованном хостинге зарубежом.
2. Доступ только через интернет - или удалённый коннект или через Remote Desktop.
3. Это не наши приложения долбятся - IP не те.
4. Firewall родной Windows Server 2003 SP2.

Microsoft SQL Server 2005 - 9.00.1399.06 (Intel X86) Oct 14 2005 00:33:37 Copyright (c) 1988-2005 Microsoft Corporation Enterprise Evaluation Edition on Windows NT 5.2 (Build 3790: Service Pack 2)
23 окт 09, 13:04    [7829293]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Jovanny
Member

Откуда:
Сообщений: 1195
__John__
Проверте или файрвол он не отключен.
Посмотрите список исключений может для софта какого исключение забито.


В списке исключениий как раз SQL Server с портом 1433 и перечнем разрешённых IP.
23 окт 09, 13:09    [7829337]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Jovanny
Member

Откуда:
Сообщений: 1195
1234567
Jovanny
что в таких случаях рекомендуется предпринимать (общие рекомендации при попытке взлома)?


Отключить имя входа sa хотя бы.


И, кстати, имя входа отключал, а попытки логиниться не прекратились.
23 окт 09, 13:10    [7829350]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Glory
Member

Откуда:
Сообщений: 104760
Jovanny
1234567
Jovanny
что в таких случаях рекомендуется предпринимать (общие рекомендации при попытке взлома)?


Отключить имя входа sa хотя бы.


И, кстати, имя входа отключал, а попытки логиниться не прекратились.

Файерволл то у вас воообще включен ?
23 окт 09, 13:17    [7829420]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Jovanny
Member

Откуда:
Сообщений: 1195
Glory
Jovanny
1234567
Jovanny
что в таких случаях рекомендуется предпринимать (общие рекомендации при попытке взлома)?


Отключить имя входа sa хотя бы.


И, кстати, имя входа отключал, а попытки логиниться не прекратились.

Файерволл то у вас воообще включен ?


Включен. И в логе есть записи, что он кого-то обрубает.

2009-10-23 09:36:08 DROP TCP 78.111.96.249 99.99.99.35 4105 445 48 S 2624727778 0 65535 - - - RECEIVE
2009-10-23 09:36:08 DROP TCP 78.111.96.249 99.99.99.35 4121 139 48 S 1079072632 0 65535 - - - RECEIVE
2009-10-23 09:36:11 DROP TCP 78.111.96.249 99.99.99.35 4121 139 48 S 1079072632 0 65535 - - - RECEIVE
2009-10-23 09:36:11 DROP TCP 78.111.96.249 99.99.99.35 4105 445 48 S 2624727778 0 65535 - - - RECEIVE
23 окт 09, 13:21    [7829445]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
freebeer
Member

Откуда:
Сообщений: 61
Jovanny,

Это похоже на встроенный фаервол Microsofta. И дропается Netbios и SMB (шара Виндовс)
23 окт 09, 13:48    [7829613]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Алексей2003
Member

Откуда: Москва
Сообщений: 5645
Jovanny
Glory
Jovanny
1234567
Jovanny
что в таких случаях рекомендуется предпринимать (общие рекомендации при попытке взлома)?


Отключить имя входа sa хотя бы.


И, кстати, имя входа отключал, а попытки логиниться не прекратились.

Файерволл то у вас воообще включен ?


Включен. И в логе есть записи, что он кого-то обрубает.

2009-10-23 09:36:08 DROP TCP 78.111.96.249 99.99.99.35 4105 445 48 S 2624727778 0 65535 - - - RECEIVE
2009-10-23 09:36:08 DROP TCP 78.111.96.249 99.99.99.35 4121 139 48 S 1079072632 0 65535 - - - RECEIVE
2009-10-23 09:36:11 DROP TCP 78.111.96.249 99.99.99.35 4121 139 48 S 1079072632 0 65535 - - - RECEIVE
2009-10-23 09:36:11 DROP TCP 78.111.96.249 99.99.99.35 4105 445 48 S 2624727778 0 65535 - - - RECEIVE

ну так может вы глянете расшифровку всех колонок этого лога?
23 окт 09, 14:00    [7829716]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
1234567
Member

Откуда:
Сообщений: 704
Jovanny
имя входа отключал, а попытки логиниться не прекратились.


Хм... А кто обещал, что после отключения они прекратятся? Просто раньше могли подобрать пароль брутфорсом, а теперь если и подберут, то не залогинятся, вот и все. Отключили sa, теперь защищайтесь от проникновения.
23 окт 09, 14:07    [7829775]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
vde69
Member

Откуда: Москва
Сообщений: 2244
Общие рекомендации
1. забить новый пароль символов в 30-40
2. доложить безопасникам, или руководству
3. на основании решения (2) возможно заблокировать базу совсем
4. звать админа для настройки фаера и сети (возможно это не внешняя атака а внутренняя)
5. я-бы попробовал в момент конекта трасировку их IP пройти, если коннект будет общим есть вероятность понять IP последнего узла.

--------------------------------------------------------
Хороший программист должен уметь не только пользоваться инструментами, но и уметь обходиться БЕЗ НИХ!
23 окт 09, 14:17    [7829848]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Jovanny
Member

Откуда:
Сообщений: 1195
Алексей2003
ну так может вы глянете расшифровку всех колонок этого лога?

Да смотрел я. Вот расшифрока:
date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path
2009-10-23 09:36:08 DROP TCP 78.111.96.249 99.99.99.35 4105 445 48 S 2624727778 0 65535 - - - RECEIVE

и что дальше?
23 окт 09, 14:30    [7829970]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
kot_begemot99
Member

Откуда:
Сообщений: 122
Jovanny,

Берешь кувалду, подходишь к серваку - сначала вырубаешь фаерволл, потом скл. что еще? ;D

а если Серьезно попробуй сначала эксперементом в своей локалке запусти это дело - закинь какой нить сниффер что ли - и почитай что он тебе напишет.
23 окт 09, 14:39    [7830055]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Алексей2003
Member

Откуда: Москва
Сообщений: 5645
Jovanny
Алексей2003
ну так может вы глянете расшифровку всех колонок этого лога?

Да смотрел я. Вот расшифрока:
date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path
2009-10-23 09:36:08 DROP TCP 78.111.96.249 99.99.99.35 4105 445 48 S 2624727778 0 65535 - - - RECEIVE

и что дальше?

тогда предлагаю создать самое первое правило, которое блокирует вообще все запросы по данному порту. и посмотреть будет ли отрабатывать правило. если все запросы будут блокироваться, значит ФВ работает. перемещаем правило на 1 строчку вниз и опять пробуем. и т.д. пока не найдем ACCESS.
23 окт 09, 14:56    [7830217]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Jovanny
Member

Откуда:
Сообщений: 1195
Всем спасибо, разобрался.
Установка исключения для порта 1433 и перечень разрешённых IP не имеют значения, если разрешён общий доступ к SQL Server из интернета через TCP. Если этот доступ отключить,то тогда исключение работает.
23 окт 09, 15:21    [7830483]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Glory
Member

Откуда:
Сообщений: 104760
Jovanny
Всем спасибо, разобрался.
Установка исключения для порта 1433 и перечень разрешённых IP не имеют значения, если разрешён общий доступ к SQL Server из интернета через TCP. Если этот доступ отключить,то тогда исключение работает.

Что такое "разрешён общий доступ к SQL Server из интернета через TCP" ? Это вы про файерволл ?
23 окт 09, 15:25    [7830521]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Jovanny
Member

Откуда:
Сообщений: 1195
Glory,

Ага.
23 окт 09, 15:27    [7830539]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Romka-Fes
Member

Откуда: Kyiv
Сообщений: 456
Saller
Jovanny, настройте нормально фаервол т.к. сервер сиквела долго не выдержит атак или установите другой фаервол если этот спит. Кстати исключения по IP обходятся легко простой подменой нужного IP так что если взломщики узнаю пропускные IP сервер придется отключать от сети и делать ревизию.

А поведайте-ка способо "лёгкой", "простой" подмены IP?!

p.s. поржал.
23 окт 09, 16:30    [7831069]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Saller
Member

Откуда: exUSSR
Сообщений: 1141
Romka-Fes
Saller
Jovanny, настройте нормально фаервол т.к. сервер сиквела долго не выдержит атак или установите другой фаервол если этот спит. Кстати исключения по IP обходятся легко простой подменой нужного IP так что если взломщики узнаю пропускные IP сервер придется отключать от сети и делать ревизию.

А поведайте-ка способо "лёгкой", "простой" подмены IP?!

p.s. поржал.

ProxySwitcher, HideIP...
И что смешного? То что вы про такие софтины не слышали и не разбирались с ними?
23 окт 09, 17:02    [7831315]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Romka-Fes
Member

Откуда: Kyiv
Сообщений: 456
Saller
Romka-Fes
Saller
Jovanny, настройте нормально фаервол т.к. сервер сиквела долго не выдержит атак или установите другой фаервол если этот спит. Кстати исключения по IP обходятся легко простой подменой нужного IP так что если взломщики узнаю пропускные IP сервер придется отключать от сети и делать ревизию.

А поведайте-ка способо "лёгкой", "простой" подмены IP?!

p.s. поржал.

ProxySwitcher, HideIP...
И что смешного? То что вы про такие софтины не слышали и не разбирались с ними?

Вы говорите об анонимайзерах/прокси серверах.
Это не есть "подмена" IP на IP из списка, разрешённых для коннекта (если конечно создатель правил файрволла не разрешит для эти проксей вход).
Это (в некотором приближении) сокрытие вашего IP.
В любом грамотно построенном файрволе ВСЁ что не разрешено - запрещено.
Человек открывает доступ к своему сиквелу ТОЛЬКО для определённых IP(их диапазонов).

Вот я и спрашивал Вас о том, КАК вы "легко просто подмените" свой IP НА IP - из списка разрешённых?

Конечно, узнав эти IP (разрешённые), можно пытаться делать что-то типа MitM, прослушивать траффик, анализировать его и т.д. и т.п.
Но это не "легко и просто" , по крайней мере для меня.

Если для Вас это так - поделитесь опытом/инструментами. О чём я , собственно, Вас и спрашивал :)
23 окт 09, 17:32    [7831536]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Ennor Tiegael
Member

Откуда:
Сообщений: 3203
Romka-Fes, Saller,

Это называется IP spoofing. Штука не сказать, чтобы легко осуществимая, но вполне возможная.
Правда, от него гарантированно защищает egress-фильтр, осталось выяснить, реализован ли он в виндовом файере, гыгы.
23 окт 09, 17:44    [7831639]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Romka-Fes
Member

Откуда: Kyiv
Сообщений: 456
Ennor Tiegael,

"Both types of spoofing are forms of a common security violation known as a man in the middle (MITM) attack"
23 окт 09, 17:55    [7831725]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Saller
Member

Откуда: exUSSR
Сообщений: 1141
Romka-Fes, не надо прикидываться валенком, почитай возможности программ и не разводи споры на пустом месте.
23 окт 09, 19:05    [7832027]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Romka-Fes
Member

Откуда: Kyiv
Сообщений: 456
Saller
Romka-Fes, не надо прикидываться валенком, почитай возможности программ и не разводи споры на пустом месте.

Не писать глупости. Особенно о том, в чём вы не разбираетесь.
23 окт 09, 23:37    [7832806]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Relic Hunter
Member

Откуда: AB
Сообщений: 7265
Мдя... Номера портов в публичных сетях не обязательно должны совпадать :) Внутренний порт 1433 MSSQL можно пробросить на любой внешний порт наружу. Шож вы такие подсказки делаете хацкерам?
Jovanny
В списке исключениий как раз SQL Server с портом 1433 и перечнем разрешённых IP.
24 окт 09, 00:21    [7832941]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
слоненок
Member

Откуда:
Сообщений: 479
Relic Hunter, скорее всего сначала просто просканировали доступные порты, а потом долбиться начали ("авось повезет")..
24 окт 09, 05:40    [7833277]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Relic Hunter
Member

Откуда: AB
Сообщений: 7265
Да Я тож никого не осуждаю :)
слоненок
Relic Hunter, скорее всего сначала просто просканировали доступные порты, а потом долбиться начали ("авось повезет")..
24 окт 09, 06:12    [7833283]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: Ctrl  назад   1 [2] 3   вперед  Ctrl      все
Все форумы / Microsoft SQL Server Ответить