Answers:
通过防火墙禁用该端口(MySQL是3306;不要调用SQL Server的端口,也许是118?)。然后没有人可以访问它。
如果需要外部访问SQL,则将其重新映射到一个高编号的端口,例如53535。如果有人发现该端口是开放的,则很难猜测其重要性。
登录尝试涉及注入一些恶意代码的尝试。我建议使用服务器的防火墙软件或第三方外部防火墙使用永久性黑名单阻止此活动。
另外,请减少允许的登录失败次数,因为这将自动阻止入侵者的IP地址。
以上将最小化。
如果必须在网络外部可以访问SQL Server,则可以将需要访问的外部IP地址列入白名单。VPN是更好的解决方案(但并非始终可用),而最好的解决方案是没有外部访问权限。
列入白名单需要更多管理,但是可以消除这种愚蠢行为。如果某人需要访问并且他们的IP经常变化,那么他们可以通过RDP登录到其他系统并从那里连接到SQL Server。
重命名sa帐户,创建伪造的sa帐户,然后将其禁用。
审核权限并触发所有SQL Server用户帐户的密码更新;可能会增加密码强度要求。
重新编号SQL Server IP侦听端口。这意味着更新客户端配置或应用程序配置文件。
我同意其他有关可能的下一个攻击媒介的信息,这可能是运行脚本的人。
对于正在寻找可以创建IPSEC策略,过滤器等并自动扫描事件日志并将IP添加到阻止列表中的程序的人,我编写了一个小型程序来执行此操作。
我也有这个问题,我的事件日志中将充满成千上万个条目,供试图通过“ sa”登录到我的MSSQL实例的黑客使用。经过大量搜索之后,我决定编写自己的程序,让它创建必要的IPSEC项,然后每60秒扫描一次事件日志,以查找来自新IP地址的攻击。然后,它将IP地址添加到IPSEC筛选器,并阻止往返于IP的所有流量。我仅在Windows Server 2008上对此进行了测试,但相信它也可以在其他版本上使用。
请使用下面的链接随意下载程序。始终可以通过使用任务管理器图标的右键菜单中的链接来感谢捐赠。
http://www.cgdesign.net/programs/AutoBlockIp.zip
请注意,这仅适用于使用“ sa”登录名的SQL登录尝试,但是我可以对其进行修改以使其适用于其他日志事件。此外,您可以查看已被阻止的IP,但是由于程序仅每60秒运行一次,因此您将继续在事件日志中看到某些项目。这是由于无法删除单个事件日志条目,并且我认为删除整个日志不是一个好主意。
免责声明 -下载并安装上述程序,即表示您同意使我免于因使用该软件而造成的任何损坏,数据丢失,损坏或任何其他功能问题。我已尽我所能对该程序进行了测试,目前已在2台服务器上运行该程序,但警告您使用该程序需要您自担风险。
如有任何问题或意见,请随时使用我的网站www.cgdesign.net上的联系表与我联系。
-克里斯
您应该限制登录尝试,因此,如果同一用户尝试登录5次以上,则将在数小时或一天之内阻止他们进行任何其他尝试。至少那么一百万次尝试之后,他们就无法强行登录。
就像其他人所说的那样,如果没有必要,则不允许公共访问。如果某些人需要外部访问,则可以将访问限制为一组已知IP。
