Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
Топик располагается на нескольких страницах: [1] 2 3   вперед  Ctrl      все
 Попытка взломать базу  [new]
Jovanny
Member

Откуда:
Сообщений: 1195
Привет всем!

У меня пытаются взломать базу, весь лог забит записями типа

2009-10-23 02:37:23.30 Logon Login failed for user 'sa'. [CLIENT: 72.55.148.233]
2009-10-23 02:37:23.33 Logon Error: 18456, Severity: 14, State: 8.
2009-10-23 02:37:23.33 Logon Login failed for user 'sa'. [CLIENT: 95.168.176.86]
2009-10-23 02:37:23.37 Logon Error: 18456, Severity: 14, State: 8.

Файервол ограничивает доступ списком IP-адресов, так что причин для беспокойства нет.
Но лог забивается этой хренью и работать с ним неудобно.
Кто-нибудь знаёт, что в таких случаях рекомендуется предпринимать (общие рекомендации при попытке взлома)?
23 окт 09, 10:47    [7827907]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Glory
Member

Откуда:
Сообщений: 104760
Jovanny
Привет всем!

У меня пытаются взломать базу, весь лог забит записями типа

2009-10-23 02:37:23.30 Logon Login failed for user 'sa'. [CLIENT: 72.55.148.233]
2009-10-23 02:37:23.33 Logon Error: 18456, Severity: 14, State: 8.
2009-10-23 02:37:23.33 Logon Login failed for user 'sa'. [CLIENT: 95.168.176.86]
2009-10-23 02:37:23.37 Logon Error: 18456, Severity: 14, State: 8.

Файервол ограничивает доступ списком IP-адресов, так что причин для беспокойства нет.
Но лог забивается этой хренью и работать с ним неудобно.
Кто-нибудь знаёт, что в таких случаях рекомендуется предпринимать (общие рекомендации при попытке взлома)?

И как же тогда файервол пропускает адреса 72.55.148.233 и 95.168.176.86 ?
23 окт 09, 10:49    [7827925]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
1234567
Member

Откуда:
Сообщений: 704
Jovanny
что в таких случаях рекомендуется предпринимать (общие рекомендации при попытке взлома)?


Отключить имя входа sa хотя бы.
23 окт 09, 10:52    [7827969]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Ramin Hashimzade
Member

Откуда: Азербайджан, Баку
Сообщений: 9979
Блог
клиент сервер как обшаются с друг другом? через интернет?
23 окт 09, 10:53    [7827972]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Jovanny
Member

Откуда:
Сообщений: 1195
To Glory
Вот и мне казалось, что сам файервол должен не давать попыток подконнектиться. Но проверено, с других IP подконнектиться нельзя, пока IP не добавлен в список исключений.

To 1234567
Интересная идея. Надо попробовать.

To Ramin
Через интернет.
23 окт 09, 11:00    [7828059]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Glory
Member

Откуда:
Сообщений: 104760
Jovanny
To Glory
Вот и мне казалось, что сам файервол должен не давать попыток подконнектиться. Но проверено, с других IP подконнектиться нельзя, пока IP не добавлен в список исключений.

Т.е. типа файервол работает, но не работает ?
23 окт 09, 11:01    [7828073]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Jovanny
Member

Откуда:
Сообщений: 1195
Почему не работает? Подключиться не даёт, но попытки не пресекает.
23 окт 09, 11:03    [7828100]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Glory
Member

Откуда:
Сообщений: 104760
Jovanny
Почему не работает? Подключиться не даёт, но попытки не пресекает.

Подключиться пользователю не дает сам SQLServer. А ваш файерволл обсалютно прозрачен
23 окт 09, 11:08    [7828140]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Ramin Hashimzade
Member

Откуда: Азербайджан, Баку
Сообщений: 9979
Блог
Glory
Jovanny
Почему не работает? Подключиться не даёт, но попытки не пресекает.

Подключиться пользователю не дает сам SQLServer. А ваш файерволл обсалютно прозрачен

+1
если работа доходит до сигвела и пытается авторизоваться с логином saб значит фиревол спит.
23 окт 09, 11:16    [7828229]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Jovanny
Member

Откуда:
Сообщений: 1195
А файервол что-то пишет в лог при своих действиях?
Windows Event Log тоже заполнен записями типа:

Login failed for user 'sa'. [CLIENT: 88.249.4.65].
23 окт 09, 11:18    [7828246]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Glory
Member

Откуда:
Сообщений: 104760
Jovanny
А файервол что-то пишет в лог при своих действиях?
Windows Event Log тоже заполнен записями типа:

Login failed for user 'sa'. [CLIENT: 88.249.4.65].

Еще раз - это сообщение SQLServer-а, а не файервола
23 окт 09, 11:19    [7828255]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Алексей2003
Member

Откуда: Москва
Сообщений: 5645
Jovanny
А файервол что-то пишет в лог при своих действиях?
Windows Event Log тоже заполнен записями типа:

Login failed for user 'sa'. [CLIENT: 88.249.4.65].

файрволл пишет в свой лог. смотрите его.
23 окт 09, 11:21    [7828269]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Jovanny
Member

Откуда:
Сообщений: 1195
Да, источник SQL Server. Странно.
У меня для порта 1433 в файерволе есть перечень IP типа:

12.198.0.0/255.255.0.0,
17.0.0.0/255.0.0.0,
45.137.33.39/255.255.255.255,
78.78.75.122/255.255.255.255,
69.26.0.0/255.255.0.0

(адреса вымышленные, не пытайтесь взломать :-))

В чём тогда причина, что файервол пропускает подобные попытки?
23 окт 09, 11:24    [7828304]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Алексей2003
Member

Откуда: Москва
Сообщений: 5645
Jovanny
Да, источник SQL Server. Странно.
У меня для порта 1433 в файерволе есть перечень IP типа:

12.198.0.0/255.255.0.0,
17.0.0.0/255.0.0.0,
45.137.33.39/255.255.255.255,
78.78.75.122/255.255.255.255,
69.26.0.0/255.255.0.0

(адреса вымышленные, не пытайтесь взломать :-))

В чём тогда причина, что файервол пропускает подобные попытки?

да посмотрите лог файрвола. он обычно пишет по какому правилу разрешил пропуск.
потому как правила действуют сверху вниз.
23 окт 09, 11:26    [7828324]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Glory
Member

Откуда:
Сообщений: 104760
Jovanny

В чём тогда причина, что файервол пропускает подобные попытки?

Обратитесь в поддержку этого ПО
23 окт 09, 11:26    [7828328]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Saller
Member

Откуда: exUSSR
Сообщений: 1141
Jovanny, настройте нормально фаервол т.к. сервер сиквела долго не выдержит атак или установите другой фаервол если этот спит. Кстати исключения по IP обходятся легко простой подменой нужного IP так что если взломщики узнаю пропускные IP сервер придется отключать от сети и делать ревизию.
23 окт 09, 11:53    [7828593]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
__John__
Member

Откуда: Киев
Сообщений: 100
Проверте или файрвол он не отключен.
Посмотрите список исключений может для софта какого исключение забито.
23 окт 09, 11:58    [7828648]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Floock
Member

Откуда:
Сообщений: 75
А какой фаервол-то стоИт? если БлекАйс - то у него могут быть как раз подобные глюки. Тогда необходимо пересоздавать правила.
23 окт 09, 12:12    [7828798]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Jovanny
Member

Откуда:
Сообщений: 1195
Лог файервола:

2009-10-23 09:16:20 OPEN-INBOUND TCP 92.46.188.99 99.99.99.36 9314 1433 - - - - - - - - -
2009-10-23 09:16:20 OPEN-INBOUND TCP 92.46.188.99 99.99.99.35 9317 1433 - - - - - - - - -
2009-10-23 09:16:20 OPEN-INBOUND TCP 92.46.188.99 99.99.99.9 9329 1433 - - - - - - - - -
2009-10-23 09:16:21 CLOSE TCP 99.99.99.9 92.46.188.99 1433 5573 - - - - - - - - -
2009-10-23 09:16:21 CLOSE TCP 99.99.99.36 92.46.188.99 1433 5582 - - - - - - - - -
2009-10-23 09:16:21 CLOSE TCP 99.99.99.35 92.46.188.99 1433 5579 - - - - - - - - -

99.99.99.36, 99.99.99.35, 99.99.99.9 - это 2 IP моего сервера.
Файервол всё-таки даёт доступ. Майкрософт не рулит (Windows Server 2003 SP2).
23 окт 09, 12:27    [7828930]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Алексей2003
Member

Откуда: Москва
Сообщений: 5645
Jovanny
Лог файервола:

2009-10-23 09:16:20 OPEN-INBOUND TCP 92.46.188.99 99.99.99.36 9314 1433 - - - - - - - - -
2009-10-23 09:16:20 OPEN-INBOUND TCP 92.46.188.99 99.99.99.35 9317 1433 - - - - - - - - -
2009-10-23 09:16:20 OPEN-INBOUND TCP 92.46.188.99 99.99.99.9 9329 1433 - - - - - - - - -
2009-10-23 09:16:21 CLOSE TCP 99.99.99.9 92.46.188.99 1433 5573 - - - - - - - - -
2009-10-23 09:16:21 CLOSE TCP 99.99.99.36 92.46.188.99 1433 5582 - - - - - - - - -
2009-10-23 09:16:21 CLOSE TCP 99.99.99.35 92.46.188.99 1433 5579 - - - - - - - - -

99.99.99.36, 99.99.99.35, 99.99.99.9 - это 2 IP моего сервера.
Файервол всё-таки даёт доступ. Майкрософт не рулит (Windows Server 2003 SP2).

1. при чем тут сервер?
2. а правила то какие пропускает? там вот в этих "-" должно указываться правило, по которому идет ACCESS
23 окт 09, 12:29    [7828947]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Jovanny
Member

Откуда:
Сообщений: 1195
Алексей2003
2. а правила то какие пропускает? там вот в этих "-" должно указываться правило, по которому идет ACCESS

Не могу сказать. Вот такой лог как есть.
23 окт 09, 12:41    [7829038]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Masygreen
Member

Откуда: Москва
Сообщений: 558
все как-то сложно ..
если работа с базой из сети - курить vpn..
23 окт 09, 12:46    [7829094]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Floock
Member

Откуда:
Сообщений: 75
А какой фаервол-то стоИт? если БлекАйс - то у него могут быть как раз подобные глюки. Тогда необходимо пересоздавать правила.
23 окт 09, 12:47    [7829102]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Masygreen
Member

Откуда: Москва
Сообщений: 558
Чо за файервол, что за система, чо за клиент чего делает .. зачем инетернет на рабочей базе .. проблема нифига не описана ...
23 окт 09, 12:47    [7829103]     Ответить | Цитировать Сообщить модератору
 Re: Попытка взломать базу  [new]
Masygreen
Member

Откуда: Москва
Сообщений: 558
может это ваше же клиентское приложение долбится .. просто при инсталяции не правильный пароль доступа указали ...
23 окт 09, 12:57    [7829204]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: [1] 2 3   вперед  Ctrl      все
Все форумы / Microsoft SQL Server Ответить