Attaque possible sur mon serveur SQL?

Vérification de mon journal SQL Server Je vois plusieurs entrées comme celle-ci:

Date: 08-11-2011 11:40:42
Source: Logon
Message: Login failed for user 'sa'. Reason: Password did not match for the login provided. [CLIENT: 56.60.156.50]
Date: 08-11-2011 11:40:42
Source: Logon
Message: Error: 18456. Severity: 14. State: 8.


Date: 08-11-2011 11:40:41
Source: Logon
Message: Login failed for user 'sa'. Reason: Password did not match for the login provided. [CLIENT: 56.60.156.50]
Date: 08-11-2011 11:40:41
Source: Logon
Message: Error: 18456. Severity: 14. State: 8.

Et ainsi de suite .. Est-ce une attaque possible sur mon serveur SQL par les Chinois ???! J'ai recherché l'adresse IP sur ip-lookup.net qui a déclaré que c'était chinois.

Et que faire?

• Bloquer l'adresse IP dans le pare-feu?
• Supprimer l'utilisateur sa?

Et comment protéger au mieux mon serveur Web?!

Merci d'avance!

Si vous avez un pare-feu, pourquoi le serveur de base de données est-il exposé à Internet?

• Le pare-feu doit bloquer tout accès aux DEUX serveurs, à l'exception des ports requis. Il s'agit généralement de 80 (http) et 443 (https) pour le serveur Web UNIQUEMENT.
• Si (et seulement si) un service externe nécessite un accès à SQL Server, autorisez l'accès aux adresses IP spécifiques requises sur le pare-feu. Cela devrait se produire via une connexion VPN, pas ouvertement exposé 1433.
• Créez un nouveau compte administrateur et désactivez le «sa» par défaut.
• De préférence, passez de l'authentification en "mode mixte" aux comptes Windows.

La première chose à faire est de le signaler à la personne responsable de la sécurité des réseaux et des systèmes de votre entreprise. S'il n'y en a pas, envoyez-le à l'administrateur réseau. S'il n'y a pas une telle personne, appelez le CIO / CTO dès maintenant - mieux encore, exigez un face à face - et expliquez la situation.

La première chose que cette personne doit faire est de bloquer l'adresse IP du pare-feu. Cela vous fera gagner un peu de temps, mais pas beaucoup, peut-être quelques minutes seulement. Si l'IP correspond à une plage d'adresses IP telle que rapportée par WhoIs.net, bloquez toute la plage d'adresses IP donnée par WhoIs. Cela empêchera le gars de demander une nouvelle adresse IP à son FAI et d'obtenir une nouvelle adresse IP. Pendant quelques minutes, peut-être.

Faites ensuite ce que dit Mark-Storey Smith ci-dessus.

Ajoutez ensuite un pare-feu ou déplacez la base de données de la DMZ. Si vous avez déjà un pare-feu et que la base de données n'est pas dans la DMZ, vous avez besoin d'une vérification judiciaire immédiate pour voir si les serveurs intermédiaires entre vous et le pare-feu ont été compromis (très probablement). Changez TOUS les mots de passe administrateur en mots de passe complexes très longs - sa, Admin Windows, administrateurs de domaine, administrateurs locaux, TOUS. Passez ensuite en revue tous les serveurs partout sur votre réseau et supprimez tous les comptes d'administrateur que vous ne reconnaissez pas ou les anciens employés ou consultants qui ont quitté l'entreprise. Ensuite, les virus et programmes malveillants analysent tout sur chaque serveur.

Ensuite, effectuez un deuxième passage et vérifiez à nouveau tout ce qui précède.

Bonne chance.

Bloquez toutes les connexions à votre base de données qui ne proviennent pas de vos serveurs Web. Vraiment.

En plus de configurer le pare-feu pour bloquer le trafic non autorisé, n'oubliez pas d'ajouter votre compte Windows au rôle d'administrateur système et de DÉSACTIVER le compte SA! Désactivez également l'authentification SQL.

Vous ne devriez avoir aucun de vos serveurs sur Internet public sans qu'un pare-feu bloque TOUS les accès réseau d'Internet aux serveurs SQL. Si vous avez ouvert le port 1433, quels autres ports ouvrir? Je suppose que vous avez beaucoup de ports ouverts sur Internet et si c'est le cas, vous avez probablement des gens qui utilisent votre serveur SQL pour des choses que vous ne voulez pas.

Vous devez faire appel à un professionnel pour examiner les systèmes et obtenir votre sécurité corrigée dès que possible. Dieu sait seulement si les gens ont réussi à pénétrer dans le système ou non. (Oui je suis consultant , oui je peux faire le travail, non je ne dis pas qu'il faut m'engager.)

À tout le moins, vous devez vous renseigner sur la sécurité des réseaux et la sécurité des bases de données (j'ai même un livre sur le sujet) et sécuriser vos systèmes.

Les étapes que vous devez essentiellement suivre à ce stade sont ...

1. Configurez votre pare-feu pour bloquer toutes les connexions entrantes, sauf celles dont vous avez réellement besoin
2. Faites une très bonne analyse antivirus de SQL Server. Si vous ne disposez pas déjà d'un antivirus installé sur le serveur SQL, supposez qu'il est infecté et formatez la machine.
3. Configurez la sécurité de la base de données en suivant les meilleures pratiques: mots de passe forts, moindres autorisations, etc.
4. Effectuez une analyse antivirus de tous les autres serveurs de l'entreprise. S'ils n'ont pas d'antivirus déjà installés, supposons qu'ils sont infectés et formatez-les.