O que devo fazer se encontrar alguém brute forçando minha senha do servidor?

5

Acabei de verificar o log de eventos no meu vps e descobri que alguém é brutal forçando minha senha sa do sql server e a senha do administrador do windows. (Eu mudei o nome da conta do administrador para outra coisa, mas eles estão usando o nome da conta correta!)

Existe algo que eu possa fazer para impedir que eles façam isso? Meu sistema operacional é o Windows Server 2008 R2 e o SQL Server 2008 R2 Express.

Editar: Parece que o endereço IP do ataque continua mudando. Então, bloqueá-los exigiria muito esforço.

    
por StarCub 21.06.2011 / 11:00

5 respostas

17

Infelizmente, para qualquer servidor exposto à Internet pública, isso é praticamente um fato da vida. Sempre haverá algum idiota tentando invadir. Meu servidor privado vê milhares de tentativas de login inválidas todos os dias.

Você poderia colocar um firewall na frente e fazer o encaminhamento de porta de uma porta obscura para a porta RDP. Isso não protegerá nada, mas pelo menos parte do tráfego desaparecerá.

Você pode relatar os endereços IP mais frequentes no registro para o provedor de serviços relevante (use whois para descobrir o provedor de serviços para um determinado endereço IP. A resposta whois também fornecerá um endereço de e-mail para abuso e spam). Eu tive algum sucesso com isso no passado.

Em uma máquina Linux, eu sempre recomendo um pacote chamado fail2ban, que monitora os logs ssh e cria regras temporárias de firewall para bloquear qualquer tráfego ssh desses endereços. Isso geralmente impede os ataques mortos em suas trilhas. Não tenho conhecimento de nenhum pacote equivalente para um servidor Windows, desculpe.

    
por 21.06.2011 / 11:41
10

Praticamente, prolongue por mais tempo (por exemplo, frase secreta de 30 caracteres) e altere-a regularmente.

Por que o seu SQL Server também está exposto à internet?

    
por 21.06.2011 / 11:41
6

A solução para ataques de força bruta (fora de impedir o acesso endereçado em outras respostas) é diminuir a probabilidade de sucesso.

  • Palavras-passe complexas (sem palavras comuns, caracteres especiais, mistura de maiúsculas / minúsculas, misture alguns números em ... pelo menos 8 caracteres ... os meus são 15 ou mais.)
  • Um temporizador nas tentativas de login. Um ataque automático não pode fazer tentativas de login de spam se você permitir apenas um a cada 15 segundos ou 3 tentativas / minuto ou se for possível limitá-lo.
  • Uma política de bloqueio ... 3 tentativas malsucedidas e bloqueia por um tempo definido, ou seja, meia hora. Isso pode ser problemático se for uma conta de administrador, naturalmente.
por 21.06.2011 / 14:07
1

Normalmente, estou apenas bloqueando IPs. Para ataques distribuídos, bloqueios temporários de segmentos IP, dependendo da origem geográfica.

    
por 21.06.2011 / 11:35
0

Por que você está tornando seu servidor banco de dados acessível a apenas QUALQUER em primeiro lugar? Em vez de tentar bloquear seletivamente, você deve permitir seletivamente. Nas suas regras de firewall, coloque na lista de permissões sua LAN (obviamente), qualquer faixa de IP de propriedade da empresa (para outros locais, por exemplo) e o bloco de endereços IP usado pelo seu provedor de hospedagem ( se , por exemplo , às vezes você precisa fazer manutenção ou solução de problemas de emergência em casa; caso contrário, ignore o próximo parágrafo).

Se você perceber que a lista inteira de usuários é um pouco permissiva, entre em contato com sua empresa para pagar por serviços em sua casa com um endereço IP estático ou use o endereço IP atribuído por DHCP. mude frequentemente e coloque na lista de permissões o seu endereço IP atual. (E, em seguida, verifique periodicamente para ver se ele foi alterado e atualize sua lista de permissões de acordo.) Obviamente, a solução com o endereço IP estático é mais segura e confiável. (Se você explicar ao gerenciamento a frequência dos ataques e o risco envolvido, eles podem perceber que $ 50 / mês é muito mais barato

Essa precaução pode ser usada ao longo de com outras medidas, como:

  • usando uma porta obscura
  • usando fail2ban ou syspeace
  • uma senha longa e complexa
  • um atraso entre as tentativas de login
por 06.09.2013 / 15:53