SQLサーバーに対する攻撃の可能性

SQL Serverログを確認すると、次のようなエントリがいくつか表示されます。

Date: 08-11-2011 11:40:42
Source: Logon
Message: Login failed for user 'sa'. Reason: Password did not match for the login provided. [CLIENT: 56.60.156.50]
Date: 08-11-2011 11:40:42
Source: Logon
Message: Error: 18456. Severity: 14. State: 8.


Date: 08-11-2011 11:40:41
Source: Logon
Message: Login failed for user 'sa'. Reason: Password did not match for the login provided. [CLIENT: 56.60.156.50]
Date: 08-11-2011 11:40:41
Source: Logon
Message: Error: 18456. Severity: 14. State: 8.

など..これは、中国語からのSQL Serverへの攻撃の可能性がありますか？ip-lookup.netでIPアドレスを調べたところ、中国語であることがわかりました。

そして何をすべきか？

• ファイアウォールでIPアドレスをブロックしますか？
• ユーザーsaを削除しますか？

そして、どうすればウェブサーバーを最高に保護できますか？！

前もって感謝します！

ファイアウォールがある場合、データベースサーバーがインターネットに公開されるのはなぜですか？

• ファイアウォールは、必要なポートを除き、両方のサーバーへのすべてのアクセスをブロックする必要があります。通常、これはWebサーバーに対してのみ80（http）および443（https）です。
• 外部サービスがSQL Serverへのアクセスを必要とする場合（およびその場合のみ）、ファイアウォールで必要な特定のIPアドレスへのアクセスを許可します。これは、公開接続1433ではなく、VPN接続を介して発生する必要があります。
• 新しい管理者アカウントを作成し、デフォルトの「sa」を無効にします。
• 好ましくは、「混合モード」認証の使用からWindowsアカウントに切り替えます。

最初にすべきことは、会社のネットワークおよびシステムのセキュリティ担当者に報告することです。そのような人がいない場合は、ネットワーク管理者に投げてください。そのような人がいない場合は、CIO / CTOに今すぐ電話してください。さらに良いのは、対面を要求して、状況を説明することです。

人が最初にすべきことは、ファイアウォールからIPをブロックすることです。これは少し時間を費やしますが、それほど多くはなく、たった数分です。IPがWhoIs.netによって報告されたIPの範囲にマップされる場合、WhoIsによって指定されたIP範囲全体をブロックします。これにより、その男が自分のISPに新しいIPを要求し、新しいIPにアクセスするのを防ぐことができます。たぶん数分間。

次に、Mark-Storey Smithが上記のことを行います。

次に、ファイアウォールを追加するか、DMZからデータベースを移動します。既にファイアウォールがあり、dbがDMZにない場合、あなたとファイアウォールの間に介在するサーバーが危険にさらされていないか（ほとんどの場合危険にさらされているか）すぐにフォレンジックチェックを行う必要があります。すべての管理者パスワードを、sa、Windows Admin、ドメイン管理者、ローカル管理者など、非常に長い複雑なパスワードに変更します。次に、ネットワーク上のあらゆるサーバーを確認し、認識できない管理者アカウントや、退職した元従業員やコンサルタントのアカウントを削除します。次に、ウイルスとマルウェアがすべてのサーバーのすべてをスキャンします。

次に、2回目のパスを作成し、上記のすべてをもう一度確認します。

幸運を。

Webサーバーから発信されていないデータベースへのすべての接続をブロックします。本当に。

不正なトラフィックをブロックするようにファイアウォールを構成することに加えて、sysadminロールにWindowsアカウントを追加し、SAアカウントを無効にすることを忘れないでください！SQL認証も無効にします。

インターネットからSQL Serverへのすべてのネットワークアクセスをファイアウォールでブロックせずに、パブリックインターネット上にサーバーを配置しないでください。ポート1433を開いている場合、他にどのポートを開く必要がありますか？私の推測では、インターネットに対して多くのポートを開いているので、その場合は、SQL Serverを使用したくないことのためにSQL Serverを使用している可能性があります。

システムを調べて、できるだけ早くセキュリティを修正するには、専門家を連れて行く必要があります。神は、人々がシステムへの侵入に成功したかどうかだけを知っています。（はい、私はコンサルタントです、はい、私は仕事をすることができます、いいえ、私はあなたが私を雇わなければならないことを言っていません）

少なくとも、ネットワークセキュリティとデータベースセキュリティ（このテーマに関する本もあります）を読んで、システムを保護する必要があります。

この時点で基本的に必要な手順は次のとおりです...

1. 実際に必要なものを除くすべての受信接続をブロックするようにファイアウォールを設定します
2. SQL Serverの非常に適切なウイルススキャンを実行します。SQL Serverにウイルススキャナーがまだインストールされていない場合は、ウイルススキャナーに感染していると想定し、コンピューターをフォーマットします。
3. 強力なパスワード、最小限の権限など、ベストプラクティスに従ってデータベースセキュリティをセットアップします。
4. 会社の他のすべてのサーバーのウイルススキャンを実行します。ウイルススキャナーがまだインストールされていない場合は、ウイルススキャナーに感染していると見なし、フォーマットします。