Что мне делать, если я обнаружил, что кто-то взломал мой серверный пароль?
Я только что проверил журнал событий на моем VPS и обнаружил, что кто-то грубо форсирует и пароль моего sql сервера sa, и пароль администратора Windows. (Я изменил имя учетной записи Администратора на другое, но они используют правильное имя учетной записи!)
Могу ли я что-нибудь сделать, чтобы они не сделали этого? Моя ОС - Windows Server 2008 R2 и SQL Server 2008 R2 Express.
Изменить: Кажется, что IP-адрес атаки постоянно меняется. Таким образом, их блокировка потребует много усилий.
6 ответов
К сожалению, для любого сервера, доступного для публичного интернета, это в значительной степени факт жизни. Всегда будет какой-нибудь придурок, пытающийся взломать. Мой частный сервер видит несколько тысяч недопустимых попыток входа в систему каждый день.
Вы можете установить брандмауэр и выполнить переадресацию портов с неясного порта на порт RDP. Это ничего не защитит, но, по крайней мере, часть трафика уйдет.
Вы можете сообщить о наиболее частых IP-адресах в журнале соответствующему поставщику услуг (используйте whois, чтобы узнать поставщика услуг для данного IP-адреса. В ответе whois также будет указан адрес электронной почты для злоупотреблений и спама). Я имел некоторый успех с этим в прошлом.
На Linux-машине я всегда рекомендую пакет с именем fail2ban, который отслеживает журналы ssh, а затем создает временные правила брандмауэра для блокировки любого трафика ssh с этих адресов. Это обычно останавливает атаки мертвыми в своих следах. Мне не известны какие-либо эквивалентные пакеты для Windows Server, извините.
Практически, сделайте его длиннее (например, 30-символьную парольную фразу) и регулярно меняйте его.
Почему ваш SQL Server также подключен к Интернету?
Решение атак методом перебора (за исключением предотвращения доступа, о котором говорится в других ответах) состоит в том, чтобы снизить вероятность их успеха.
- Сложные пароли (без общих слов, специальных символов, сочетание прописных / строчных букв, добавление некоторых цифр в... по крайней мере 8 символов в длину... у меня 15 или более.)
- Таймер на попытки входа в систему. Автоматическая атака не может спамить попытки входа в систему, если вы разрешаете только одну каждые 15 секунд или 3 попытки в минуту или если вы можете ограничить ее.
- Политика блокировки... 3 неудачных попытки, и она блокируется на установленное время, то есть на полчаса. Это может быть хлопотно, если это учетная запись администратора, естественно.
Я обычно просто блокирую IP-адреса. Для распределенных атак - временные блоки сегментов IP в зависимости от географического происхождения.
Почему вы делаете свой сервер базы данных доступным только для ЛЮБОГО в первую очередь? Вместо того, чтобы пытаться блокировать выборочно, вы должны разрешить выборочно. В правилах брандмауэра внесите в белый список вашу ЛВС (очевидно), любые диапазоны IP-адресов, принадлежащие компании (например, для других мест), и блок IP-адресов, используемый вашим домашним интернет-провайдером (если, например, вам иногда требуется выполнить обслуживание или экстренное устранение неисправностей из дома; если нет, то пропустите следующий параграф).
Если вы чувствуете, что внесение в белый список всего вашего интернет-провайдера кажется слишком допустимым, то лоббируйте свою компанию, чтобы оплачивать услуги бизнес-класса у себя дома со статическим IP-адресом, ИЛИ просто рискуйте тем, что назначенный DHCP IP-адрес не изменится очень часто и белый список вашего текущего IP-адреса. (А затем периодически проверяйте, изменился ли он, и соответственно обновляйте свой белый список.) Очевидно, что решение со статическим IP-адресом является наиболее безопасным и надежным. (Если вы объясните руководству частоту атак и связанный с ними риск, они могут понять, что 50 долларов в месяц намного дешевле
Эта мера предосторожности может использоваться вместе с другими мерами, такими как:
В эти небезопасные времена появилась совсем недавняя утилита, которая в основном действует как Fail2ban для Windows RDP:https://github.com/devnulli/EvlWatcher
Но у него гибкая xml-конфигурация, и я думаю, если атаки фиксируются в журнале событий, то вы, скорее всего, и для этого сможете сделать конфиг!
Если да, поделитесь конфигурацией здесь в качестве дополнительного ответа или комментария.