ms sql2000 遭人攻击，高手们支支招~~~

kfcoffe 2010-07-28 10:02:01

netstat -an
发现出现很多time_wait, 都是连接mssql的、

应用程序日志里面每1s中都会出现很多sa登陆失败日志记录。

目前用的版本sqlserver2000 打了sp3补丁

有经验的帮帮忙吧，在这里小弟先感谢了，实在是招架不住了。很暴力、

...全文

232 23 打赏收藏转发到动态举报

写回复

用AI写文章

23 条回复

切换为时间正序

请发表友善的回复…

发表回复

kfcoffe 2010-07-29

打赏
举报

[Quote=引用 17 楼 claro 的回复:]
引用 13 楼 hdhai9451 的回复:
修改密码，还有可能是受到病毒攻击了
不然什么会每秒sa访问一次
穷举入侵，每秒sa访问一次，频率很低了，甚至会不同IP每秒访问，入侵日志不停滚屏。
有些事情靠想象是不行的。
[/Quote]

是的，入侵日志不停滚屏。

那怎么样做才能防住，而且影响减小到最低

claro 2010-07-29

打赏
举报

[Quote=引用 18 楼 cailee 的回复:]
ip安全策略很强大的。用好了，比防火墙还强大。
[/Quote]其实用好了都很强大，谁又能都用好呢？

claro 2010-07-29

打赏
举报

[Quote=引用 14 楼 cailee 的回复:]
ip策略做个限制，只允许本机访问1433端口。一劳永逸。
[/Quote]一劳永逸？
貌似我们可能解决了或者说是暂时屏蔽了一部分问题，这时也会带来新的问题。不管作为管理者或技术员都应有大局观和将问题负面影响减至最小。
这位朋友的观点，我期初认为有问题，想起如果可能的话，应该是下面的部署：
1、web前端应用在服务器A，供网络用户访问。
2、数据库服务器B，做IP策略，只允许服务器A和备用服务器AA连接sql端口。
这里貌似屏蔽了问题，实际在应用过程中除了会产生意外，同时不可能全部屏蔽入侵。

cailee 2010-07-29

打赏
举报

[Quote=引用 16 楼 kfcoffe 的回复:]
引用 14 楼 cailee 的回复:
ip策略做个限制，只允许本机访问1433端口。一劳永逸。

你这个和放到内网1个道理。
[/Quote]
ip安全策略很强大的。用好了，比防火墙还强大。

claro 2010-07-29

打赏
举报

[Quote=引用 13 楼 hdhai9451 的回复:]
修改密码，还有可能是受到病毒攻击了
不然什么会每秒sa访问一次
[/Quote]穷举入侵，每秒sa访问一次，频率很低了，甚至会不同IP每秒访问，入侵日志不停滚屏。
有些事情靠想象是不行的。

kfcoffe 2010-07-29

打赏
举报

[Quote=引用 14 楼 cailee 的回复:]
ip策略做个限制，只允许本机访问1433端口。一劳永逸。
[/Quote]

你这个和放到内网1个道理。

kfcoffe 2010-07-29

打赏
举报

[Quote=引用 13 楼 hdhai9451 的回复:]
修改密码，还有可能是受到病毒攻击了

不然什么会每秒sa访问一次
[/Quote]

受到病毒攻击？是讲的本机上有病毒?

每一秒访问很多次，但是都是失败。密码应该没被别人猜出吧。

cailee 2010-07-29

打赏
举报

ip策略做个限制，只允许本机访问1433端口。一劳永逸。

Andy__Huang 2010-07-29

打赏
举报

修改密码，还有可能是受到病毒攻击了

不然什么会每秒sa访问一次

billpu 2010-07-29

打赏
举报

其实windows安全策略和防火墙的原来大同小异,只不过是软件级别的,但是对internet环境用的话要谨慎
copy一个给你看看

IPSec安全策略应用实例

　　目的：阻止局域网中IP为“192.168.0.2”的机器访问Windows2003终端服务器。

　　很多服务器都开通了终端服务，除了使用用户权限控制访问外，还可以创建IPSec安全策略进行限制。

　　第一步：在Windows 2003服务器的IP安全策略主窗口中，右键点击“IP安全策略，在本地计算机”，选择“创建IP安全策略”选项，进入“IP安全策略向导”，点击“下一步”，在“IP安全策略”名称对话框中输入该策略的名字（如图3），如“终端服务过滤”，点击“下一步”，下面弹出的对话框都选择默认值，最后点击“完成”按钮。

　　第二步：为该策略创建一个筛选器。右键点击“IP安全策略，在本地计算机”，在菜单中选择“管理IP筛选器表和筛选器操作”，切换到“管理IP筛选器列表”标签页（如图4），点击下方的“添加”，弹出的“IP筛选器列表”对话框，在“名称”输入框中输入“终端服务”，点击“添加”，进入“IP筛选器向导”窗口，点击“下一步”，在“源地址”下拉列表框中选择“一个特定IP地址”，然后输入该客户机的IP地址和子网掩码，如“192.168.0.2”。点击“下一步”后，在“目标地址”下拉列表框中选择“我的IP地址”，点击“下一步”，接着在“选择协议类型” 中选择“TCP”协议（如图5），点击“下一步”，接着在协议端口中选择“从任意端口，到此端口”，在输入框中填入“3389”，点击“下一步”后完成筛选器的创建（如图6）。

　　第三步：新建一个阻止操作。切换到“筛选器操作”标签页，点击“添加”按钮，进入到“IP安全筛选器操作向导”，点击“下一步”，给这个操作起一个名字，如“阻止”，点击“下一步”，接着设置“筛选器操作的行为”，选择“阻止”单选项（如图7），点击“下一步”，就完成了“IP安全筛选器操作”的添加工作。

　　最后在IP安全策略主窗口中，双击第一步建立的“终端服务过滤”安全策略，点击“添加”按钮，进入“创建IP安全规则向导”，点击“下一步”，选择“此规则不指定隧道”，点击“下一步”，在网络类型对话框中选择“局域网”，点击“下一步”，在接下来对话框中选择默认值，点击“下一步”，在IP筛选器列表中选择“终端服务”选项，点击“下一步”，接着在筛选器操作列表中选择“阻止”，最后点击“完成”。

　　完成了创建IPSec安全策略后，还要进行指派，右键单击“终端服务过滤”，在弹出的菜单中选择“指派”，这样就启用了该IPSec安全策略。局域网中IP为“192.168.0.2”的机器就不能访问Windows 2003终端服务器了。

　　补充：Windows系统的IPSec安全策略也存在不足，一台机器同时只能有一个策略被指派。

kfcoffe 2010-07-29

打赏
举报

[Quote=引用 8 楼 arrow_gx 的回复:]
所谓的 SQL 攻击有几种情况
1：通过 1433 端口，直接强力破解密码
2：通过程序漏洞，进行 sql 注入，网络上的 SQL 攻击以此类最多(90% 以上)

解决方法：
1：修改SQL 服务端口，
2：用硬件防火墙或者 windows IPsec IP 安全策略，限制访问 SQL 服务端口的IP
4：有条件的话，SQL 服务器和前台服务器分开，限制只能有前台服务器访问 S……
[/Quote]

感谢这位大哥细心的回复。明白了很多。

windows IPsec IP 安全策略，限制访问 SQL 服务端口的IP---------这个具体怎么弄，能给个例子吗？

kfcoffe 2010-07-29

打赏
举报

[Quote=引用 2 楼 wufeng4552 的回复:]
sqlserver2000 打上SP4補丁
最好不要用默認1433 端口
[/Quote]

貌是sqlserver2000 你改了端口别人还是可以列举出来、

kfcoffe 2010-07-29

打赏
举报

[Quote=引用 4 楼 billpu 的回复:]
明显别人在用程序穷举你的sqlserver的密码了
更改个端口是临时解决办法
比较保险的办法是反追踪对方的ip,如果是internat环境那就算了,多数是跳板过来的.
另外有个办法是把数据库服务器移到内网来,那样是一劳永逸的办法了
[/Quote]

现在移到内网了，把对外的端口屏蔽了。暂时解决了

arrow_gx 2010-07-28

打赏
举报

所谓的 SQL 攻击有几种情况
1：通过 1433 端口，直接强力破解密码
2：通过程序漏洞，进行 sql 注入，网络上的 SQL 攻击以此类最多(90% 以上)

解决方法：
1：修改SQL 服务端口，
2：用硬件防火墙或者 windows IPsec IP 安全策略，限制访问 SQL 服务端口的IP
4：有条件的话，SQL 服务器和前台服务器分开，限制只能有前台服务器访问 SQL 服务
3：程序方面做好防 SQL 注入措施（90%的SQL攻击是从前台漏洞开始的），这方面网上百度一下就是一大堆，就不再累赘说了