Possibile attacco sul mio server SQL?

Controllando il mio registro di SQL Server vedo diverse voci come questa:

Date: 08-11-2011 11:40:42
Source: Logon
Message: Login failed for user 'sa'. Reason: Password did not match for the login provided. [CLIENT: 56.60.156.50]
Date: 08-11-2011 11:40:42
Source: Logon
Message: Error: 18456. Severity: 14. State: 8.


Date: 08-11-2011 11:40:41
Source: Logon
Message: Login failed for user 'sa'. Reason: Password did not match for the login provided. [CLIENT: 56.60.156.50]
Date: 08-11-2011 11:40:41
Source: Logon
Message: Error: 18456. Severity: 14. State: 8.

E così via .. È questo un possibile attacco sul mio SQL Server dal cinese ???! Ho cercato l'indirizzo IP su ip-lookup.net che ha dichiarato che era cinese.

E cosa fare?

• Bloccare l'indirizzo IP nel firewall?
• Eliminare l'utente sa?

E come posso proteggere al meglio il mio web server ?!

Grazie in anticipo!

Se si dispone di un firewall, perché il server database è esposto a Internet?

• Il firewall dovrebbe bloccare tutti gli accessi a ENTRAMBI i server a parte le porte richieste. In genere questo sarebbe 80 (http) e 443 (https) SOLO per il web server.
• Se (e solo se) un servizio esterno richiede l'accesso a SQL Server, consentire l'accesso agli indirizzi IP specifici richiesti dal firewall. Ciò dovrebbe avvenire tramite una connessione VPN, non esposta apertamente 1433.
• Crea un nuovo account amministratore e disabilita "sa" predefinito.
• Preferibilmente, passa dall'utilizzo dell'autenticazione "modalità mista" agli account Windows.

La prima cosa che dovresti fare è segnalarlo alla persona responsabile della sicurezza della rete e dei sistemi della tua azienda. Se non esiste una persona simile, lancialo all'amministratore di rete. Se non esiste una persona simile, chiama subito il CIO / CTO - meglio ancora, chiedi di persona - e spiega la situazione.

La prima cosa che quella persona dovrebbe fare è bloccare l'IP dal firewall. Questo ti farà guadagnare un po 'di tempo, ma non molto, forse solo pochi minuti. Se l'IP è associato a un intervallo di IP come riportato da WhoIs.net, blocca l'intero intervallo IP fornito da WhoIs. Ciò impedirà al ragazzo di richiedere un nuovo IP dal proprio ISP e di entrare con un nuovo IP. Per qualche minuto, forse.

Quindi fai quello che dice Mark-Storey Smith sopra.

Quindi aggiungere un firewall o spostare il db dalla DMZ. Se si dispone già di un firewall e il db non si trova nella DMZ, è necessario un controllo forense immediato per vedere se i server che si interpongono tra te e il firewall sono stati compromessi (molto probabilmente lo sono). Cambia TUTTA la password dell'amministratore in password complesse molto lunghe: sa, amministratore di Windows, amministratori di dominio, amministratori locali, TUTTI. Quindi rivedere tutti i server in qualsiasi punto della rete ed eliminare tutti gli account amministratore che non si riconoscono o quelli per ex dipendenti o consulenti che hanno lasciato l'azienda. Quindi virus e malware eseguono la scansione di tutto su ogni server.

Quindi fai un secondo passaggio e controlla ancora una volta tutto quanto sopra.

In bocca al lupo.

Blocca tutte le connessioni al tuo database che non provengono dai tuoi server web. Veramente.

Oltre a configurare il firewall per bloccare il traffico non autorizzato, non dimenticare di aggiungere il tuo account Windows al ruolo amministratore di sistema e DISABILITARE l'account SA! Disabilita anche l'autenticazione SQL.

Non dovresti avere nessuno dei tuoi server su Internet pubblico senza un firewall che blocchi TUTTO l'accesso alla rete da Internet ai server SQL. Se hai la porta 1433 aperta, quali altre porte hanno aperto? La mia ipotesi sarebbe che hai molte porte aperte su Internet e, in tal caso, probabilmente hai persone che usano SQL Server per cose che non vuoi che facciano.

È necessario coinvolgere un professionista per esaminare i sistemi e ripristinare la sicurezza al più presto. Dio solo sa se le persone si sono introdotte con successo nel sistema o no. (Sì, sono un consulente , sì, posso fare il lavoro, no, non sto dicendo che devi assumermi.)

Per lo meno è necessario leggere sulla sicurezza della rete e della sicurezza del database (ho anche un libro sull'argomento) e proteggere i sistemi.

I passaggi che devi praticamente seguire a questo punto sono ...

1. Configura il tuo firewall per bloccare tutte le connessioni in entrata tranne quelle di cui hai effettivamente bisogno
2. Eseguire una scansione antivirus MOLTO buona di SQL Server. Se non hai già installato uno scanner antivirus su SQL Server, supponi che sia infetto e formatta la macchina.
3. Configurare la sicurezza del database seguendo le migliori pratiche: password complesse, autorizzazioni minime, ecc.
4. Esegui una scansione antivirus di tutti gli altri server dell'azienda. Se non sono già installati scanner di virus, supponi che siano infetti e formattali.