誰かが私のサーバーパスワードをブルートフォースしているのを見つけたらどうすればよいですか?
私は自分のvpsでイベントログをチェックしたところ、誰かが私のsql serversaパスワードとWindows管理者パスワードの両方をブルートフォースしていることがわかりました。 (アカウント名をAdministratorから別の名前に変更しましたが、正しいアカウント名を使用しています!)
彼らがそれをするのを防ぐために私ができることはありますか?私のOSはWindowsServer 2008R2とSQLServer 2008 R2Expressです。
編集:攻撃のIPアドレスは変化し続けているようです。したがって、それらをブロックするには多くの労力が必要です。
残念ながら、パブリックインターネットに公開されているサーバーにとって、これはほとんど現実のことです。ハッキングしようとするモロンは常に存在します。私のプライベートサーバーは、毎日数千回の無効なログイン試行を確認しています。
ファイアウォールを前面に配置し、あいまいなポートからRDPポートへのポート転送を行うことができます。これは何も保護しませんが、トラフィックの少なくとも一部はなくなります。
ログ内の最も頻繁なIPアドレスを関連するサービスプロバイダーに報告できます(whoisを使用して、特定のIPアドレスのサービスプロバイダーを見つけます。whois応答では、悪用やスパムの電子メールアドレスも提供されます)。私は過去にこれである程度の成功を収めました。
Linuxマシンでは、sshログを監視し、一時的なファイアウォールルールを作成して、これらのアドレスからのsshトラフィックをブロックするfail2banというパッケージを常にお勧めします。それは通常彼らのトラックで死んだ攻撃を止めます。申し訳ありませんが、WindowsServerの同等のパッケージを認識していません。
実際には、長くして(たとえば、30文字のパスフレーズ)、定期的に変更します。
SQL Serverがインターネットにも公開されているのはなぜですか?
ブルートフォース攻撃の解決策(他の回答で対処されているアクセスを防止する以外)は、攻撃が成功する可能性を低くすることです。
- 複雑なパスワード(一般的な単語、特殊文字、大文字と小文字の組み合わせ、いくつかの数字を...少なくとも8文字の長さで...私のものは15以上です。)
- ログイン試行のタイマー。自動攻撃では、15秒ごとまたは3回/分ごとに1回しか許可しない場合、または制限できる場合は、ログイン試行をスパムすることはできません。
- ロックアウトポリシー... 3回の試行が失敗し、設定された時間、つまり30分間ロックアウトされます。当然、管理者アカウントの場合、これは面倒な場合があります。
私は通常、IPをブロックしているだけです。分散型攻撃の場合、地理的な発信元に応じてIPセグメントの一時的なブロック。
データベースサーバーにアクセスできるようにする理由tojust[〜#〜] anyone [〜#〜]そもそも?選択的にブロックしようとする代わりに、選択的に許可する必要があります。ファイアウォールルールで、LAN(明らかに)、会社が所有するIP範囲(他の場所など)、およびホームISPが使用するIPアドレスブロック(ifたとえば、自宅からメンテナンスや緊急トラブルシューティングを行う必要がある場合があります。そうでない場合は、次の段落を無視してください)。
ISP全体をホワイトリストに登録することは少し寛容すぎると思われる場合は、静的IPアドレスを使用して自宅でビジネスクラスのサービスの料金を支払うように会社に働きかけます。ORDHCPによって割り当てられたIPアドレスはあまり頻繁に変更されず、現在のIPアドレスをホワイトリストに登録します。 (その後、定期的に変更されているかどうかを確認し、それに応じてホワイトリストを更新します。)明らかに、静的IPアドレスを使用したソリューションが最も安全で信頼性があります。 (攻撃の頻度とそれに伴うリスクを経営陣に説明すると、月額50ドルの方がはるかに安いことに気付くかもしれません。
この予防措置は、と他の手段と一緒に使用できます。