¿Posible ataque a mi servidor SQL?

Al revisar mi registro de SQL Server, veo varias entradas como esta:

Date: 08-11-2011 11:40:42
Source: Logon
Message: Login failed for user 'sa'. Reason: Password did not match for the login provided. [CLIENT: 56.60.156.50]
Date: 08-11-2011 11:40:42
Source: Logon
Message: Error: 18456. Severity: 14. State: 8.


Date: 08-11-2011 11:40:41
Source: Logon
Message: Login failed for user 'sa'. Reason: Password did not match for the login provided. [CLIENT: 56.60.156.50]
Date: 08-11-2011 11:40:41
Source: Logon
Message: Error: 18456. Severity: 14. State: 8.

Y así sucesivamente ... ¿Es este un posible ataque a mi servidor SQL de los chinos? Busqué la dirección IP en ip-lookup.net que decía que era china.

¿Y que hacer?

• ¿Bloquear la dirección IP en el firewall?
• Eliminar el usuario sa?

¿Y cómo protejo mejor mi servidor web?

¡Gracias por adelantado!

Si tiene un firewall, ¿por qué el servidor de la base de datos está expuesto a Internet?

• El firewall debe bloquear todo el acceso a AMBOS servidores, aparte de los puertos requeridos. Normalmente, esto sería 80 (http) y 443 (https) SOLO para el servidor web.
• Si (y solo si) un servicio externo requiere acceso al SQL Server, permita el acceso a las direcciones IP específicas requeridas en el firewall. Esto debería ocurrir a través de una conexión VPN, no abiertamente expuesto 1433.
• Cree una nueva cuenta de administrador y desactive la 'sa' predeterminada.
• Preferiblemente, cambie de usar la autenticación de "modo mixto" a las cuentas de Windows.

Lo primero que debe hacer es informarlo a la persona responsable de la seguridad de la red y los sistemas de su empresa. Si no hay tal persona, arroje esto al administrador de la red. Si no hay tal persona, llame al CIO / CTO en este momento, mejor aún, exija una consulta cara a cara y explique la situación.

Lo primero que debe hacer esa persona es bloquear la IP del firewall. Esto te dará un poco de tiempo, pero no mucho, tal vez solo unos minutos. Si la IP se asigna a un rango de IP según lo informado por WhoIs.net, bloquee todo el rango de IP proporcionado por WhoIs. Eso evitará que el tipo solicite una nueva IP de su ISP y acceda a una nueva IP. Por unos minutos, tal vez.

Luego haz lo que Mark-Storey Smith dice arriba.

Luego, agregue un firewall o mueva el db de la DMZ. Si ya tiene un firewall y la base de datos no está en la DMZ, necesita una verificación forense inmediata para ver si los servidores que intervienen entre usted y el firewall se han visto comprometidos (lo más probable es que lo hayan hecho). Cambie TODA la contraseña de administrador a contraseñas complejas muy largas: sa, Administrador de Windows, administradores de dominio, administradores locales, TODOS ELLOS. Luego, revise todos los servidores en todas partes de su red y elimine las cuentas de administrador que no reconozca o las de los antiguos empleados o consultores que hayan abandonado la empresa. Luego, los virus y el malware analizan todo en cada servidor.

Luego haga un segundo pase y verifique todo lo anterior nuevamente una vez más.

Buena suerte.

Bloquee todas las conexiones a su base de datos que no se originen en sus servidores web. De Verdad.

Además de configurar el firewall para bloquear el tráfico no autorizado, ¡no olvide agregar su cuenta de Windows a la función sysadmin y DESHABILITAR la cuenta SA! Desactiva la autenticación de SQL también.

No debe tener ninguno de sus servidores en Internet público sin tener un firewall que bloquee TODOS los accesos de red desde Internet a los servidores SQL. Si tiene el puerto 1433 abierto, ¿qué otros puertos tienen abiertos? Supongo que tiene muchos puertos abiertos a Internet y, si ese es el caso, es probable que haya personas que usan su SQL Server para cosas que no desea que hagan.

Debe traer a un profesional para que observe los sistemas y arregle su seguridad lo antes posible. Solo Dios sabe si las personas han entrado con éxito en el sistema o no. (Sí, soy consultor , sí, puedo hacer el trabajo, no, no estoy diciendo que tengas que contratarme).

Como mínimo, necesita leer sobre la seguridad de la red y la seguridad de la base de datos (incluso tengo un libro sobre el tema) y asegurar sus sistemas.

Los pasos que básicamente debes seguir en este punto son ...

1. Configure su firewall para bloquear todas las conexiones entrantes, excepto las que realmente necesita
2. Haga un muy buen análisis de virus de SQL Server. Si aún no tiene instalado un antivirus en el Servidor SQL, suponga que está infectado y formatee la máquina.
3. Configure la seguridad de la base de datos siguiendo las mejores prácticas: contraseñas seguras, permisos mínimos, etc.
4. Realice un análisis de virus de todos los demás servidores de la empresa. Si no tienen escáneres de virus ya instalados, asuma que están infectados y formateelos.