Я только что проверил журнал событий на своем vps и обнаружил, что кто-то грубо заставляет мой пароль sql server sa и пароль администратора Windows. (Я изменил имя учетной записи с администратора на другое, но они используют правильное имя учетной записи!)
Могу ли я что-нибудь сделать, чтобы помешать им это сделать? Моя ОС - Windows Server 2008 R2 и SQL Server 2008 R2 Express.
Изменить: кажется, что IP-адрес атаки постоянно меняется. Так что их блокировка потребует больших усилий.
К сожалению, для любого сервера, подключенного к общедоступному Интернету, это в значительной степени реальность. Всегда найдется какой-нибудь придурок, пытающийся взломать его. Мой частный сервер видит несколько тысяч неверных попыток входа каждый день.
Вы можете поставить брандмауэр впереди и выполнить переадресацию порта с непонятного порта на порт RDP. Это ничего не защитит, но, по крайней мере, часть трафика уйдет.
Вы можете сообщить о наиболее часто встречающихся IP-адресах в журнале соответствующему поставщику услуг (используйте whois, чтобы узнать поставщика услуг для данного IP-адреса. Ответ whois также предоставит вам адрес электронной почты для злоупотреблений и спама). В прошлом у меня были некоторые успехи в этом.
На Linux-машине я всегда рекомендую пакет под названием fail2ban, который отслеживает журналы ssh, а затем создает временные правила брандмауэра для блокировки любого ssh-трафика с этих адресов. Это обычно останавливает атаки как следует. Мне не известны эквивалентные пакеты для Windows Server, извините.
На практике сделайте его длиннее (например, парольная фраза из 30 символов) и регулярно меняйте его.
Почему ваш SQL-сервер тоже доступен в Интернете?
Решение для атак грубой силы (помимо предотвращения доступа, о котором говорится в других ответах) состоит в том, чтобы снизить вероятность их успеха.
Обычно я просто блокирую IP-адреса. Для распределенных атак временные блоки IP-сегментов в зависимости от географического происхождения.
Почему ты делаешь свой база данных сервер доступный для просто КТО УГОДНО в первую очередь? Вместо того, чтобы пытаться блокировать выборочно, вам следует разрешать выборочно. В правилах брандмауэра внесите в белый список свою локальную сеть (очевидно), любые диапазоны IP-адресов, принадлежащие компании (например, для других мест), и блок IP-адресов, используемый вашим домашним интернет-провайдером (еслинапример, вам иногда нужно проводить техническое обслуживание или устранять неисправности в экстренных случаях из дома; если нет, то игнорируйте следующий абзац).
Если вам кажется, что занесение в белый список всего вашего интернет-провайдера кажется слишком допустимым, то лоббируйте свою компанию, чтобы заплатить за услуги бизнес-класса у вас дома со статическим IP-адресом, ИЛИ просто рискните, что ваш IP-адрес, назначенный DHCP, не изменится очень сильно. часто и занесите в белый список свой текущий IP-адрес. (А затем периодически проверяйте, не изменилось ли оно, и соответствующим образом обновляйте свой белый список.) Очевидно, что решение со статическим IP-адресом является наиболее безопасным и надежным. (Если вы объясните руководству частоту атак и связанный с этим риск, они могут понять, что 50 долларов в месяц намного дешевле.
Эта мера предосторожности может использоваться вместе с участием другие меры, такие как: