2.1w+
社区成员
- 主页
ms sql2000 遭人攻击,高手们支支招~~~
netstat -an
发现出现很多time_wait, 都是连接mssql的、
应用程序日志里面 每1s中都会出现很多sa登陆失败日志记录。
目前用的版本sqlserver2000 打了sp3补丁
有经验的帮帮忙吧,在这里小弟先感谢了,实在是招架不住了。很暴力、
发现出现很多time_wait, 都是连接mssql的、
应用程序日志里面 每1s中都会出现很多sa登陆失败日志记录。
目前用的版本sqlserver2000 打了sp3补丁
有经验的帮帮忙吧,在这里小弟先感谢了,实在是招架不住了。很暴力、
...全文
请发表友善的回复…
发表回复
kfcoffe 2010-07-29
[Quote=引用 17 楼 claro 的回复:]
引用 13 楼 hdhai9451 的回复:
修改密码,还有可能是受到病毒攻击了
不然什么会每秒sa访问一次
穷举入侵,每秒sa访问一次,频率很低了,甚至会不同IP每秒访问,入侵日志不停滚屏。
有些事情靠想象是不行的。
[/Quote]
是的,入侵日志不停滚屏。
那怎么样做才能防住,而且影响减小到最低
引用 13 楼 hdhai9451 的回复:
修改密码,还有可能是受到病毒攻击了
不然什么会每秒sa访问一次
穷举入侵,每秒sa访问一次,频率很低了,甚至会不同IP每秒访问,入侵日志不停滚屏。
有些事情靠想象是不行的。
[/Quote]
是的,入侵日志不停滚屏。
那怎么样做才能防住,而且影响减小到最低
claro 2010-07-29
[Quote=引用 18 楼 cailee 的回复:]
ip安全策略很强大的。用好了,比防火墙还强大。
[/Quote]其实用好了都很强大,谁又能都用好呢?
ip安全策略很强大的。用好了,比防火墙还强大。
[/Quote]其实用好了都很强大,谁又能都用好呢?
claro 2010-07-29
[Quote=引用 14 楼 cailee 的回复:]
ip策略做个限制,只允许本机访问1433端口。一劳永逸。
[/Quote]一劳永逸?
貌似我们可能解决了或者说是暂时屏蔽了一部分问题,这时也会带来新的问题。不管作为管理者或技术员都应有大局观和将问题负面影响减至最小。
这位朋友的观点,我期初认为有问题,想起如果可能的话,应该是下面的部署:
1、web前端应用在服务器A,供网络用户访问。
2、数据库服务器B,做IP策略,只允许服务器A和备用服务器AA连接sql端口。
这里貌似屏蔽了问题,实际在应用过程中除了会产生意外,同时不可能全部屏蔽入侵。
ip策略做个限制,只允许本机访问1433端口。一劳永逸。
[/Quote]一劳永逸?
貌似我们可能解决了或者说是暂时屏蔽了一部分问题,这时也会带来新的问题。不管作为管理者或技术员都应有大局观和将问题负面影响减至最小。
这位朋友的观点,我期初认为有问题,想起如果可能的话,应该是下面的部署:
1、web前端应用在服务器A,供网络用户访问。
2、数据库服务器B,做IP策略,只允许服务器A和备用服务器AA连接sql端口。
这里貌似屏蔽了问题,实际在应用过程中除了会产生意外,同时不可能全部屏蔽入侵。
cailee 2010-07-29
[Quote=引用 16 楼 kfcoffe 的回复:]
引用 14 楼 cailee 的回复:
ip策略做个限制,只允许本机访问1433端口。一劳永逸。
你这个和放到内网1个道理。
[/Quote]
ip安全策略很强大的。用好了,比防火墙还强大。
引用 14 楼 cailee 的回复:
ip策略做个限制,只允许本机访问1433端口。一劳永逸。
你这个和放到内网1个道理。
[/Quote]
ip安全策略很强大的。用好了,比防火墙还强大。
claro 2010-07-29
[Quote=引用 13 楼 hdhai9451 的回复:]
修改密码,还有可能是受到病毒攻击了
不然什么会每秒sa访问一次
[/Quote]穷举入侵,每秒sa访问一次,频率很低了,甚至会不同IP每秒访问,入侵日志不停滚屏。
有些事情靠想象是不行的。
修改密码,还有可能是受到病毒攻击了
不然什么会每秒sa访问一次
[/Quote]穷举入侵,每秒sa访问一次,频率很低了,甚至会不同IP每秒访问,入侵日志不停滚屏。
有些事情靠想象是不行的。
kfcoffe 2010-07-29
[Quote=引用 14 楼 cailee 的回复:]
ip策略做个限制,只允许本机访问1433端口。一劳永逸。
[/Quote]
你这个和放到内网1个道理。
ip策略做个限制,只允许本机访问1433端口。一劳永逸。
[/Quote]
你这个和放到内网1个道理。
kfcoffe 2010-07-29
[Quote=引用 13 楼 hdhai9451 的回复:]
修改密码,还有可能是受到病毒攻击了
不然什么会每秒sa访问一次
[/Quote]
受到病毒攻击? 是讲的本机上有病毒?
每一秒访问很多次,但是都是失败。 密码应该没被别人猜出吧。
修改密码,还有可能是受到病毒攻击了
不然什么会每秒sa访问一次
[/Quote]
受到病毒攻击? 是讲的本机上有病毒?
每一秒访问很多次,但是都是失败。 密码应该没被别人猜出吧。
cailee 2010-07-29
ip策略做个限制,只允许本机访问1433端口。一劳永逸。
Andy__Huang 2010-07-29
修改密码,还有可能是受到病毒攻击了
不然什么会每秒sa访问一次
不然什么会每秒sa访问一次
billpu 2010-07-29
其实windows安全策略和防火墙的原来大同小异,只不过是软件级别的,但是对internet环境用的话要谨慎
copy一个给你看看
IPSec安全策略应用实例
目的:阻止局域网中IP为“192.168.0.2”的机器访问Windows2003终端服务器。
很多服务器都开通了终端服务,除了使用用户权限控制访问外,还可以创建IPSec安全策略进行限制。
第一步:在Windows 2003服务器的IP安全策略主窗口中,右键点击“IP安全策略,在本地计算机”,选择“创建IP安全策略”选项,进入“IP安全策略向导”,点击“下一步”,在“IP安全策略”名称对话框中输入该策略的名字(如图3),如“终端服务过滤”,点击“下一步”,下面弹出的对话框都选择默认值,最后点击“完成”按钮。
第二步:为该策略创建一个筛选器。右键点击“IP安全策略,在本地计算机”,在菜单中选择“管理IP筛选器表和筛选器操作”,切换到“管理IP筛选器列表”标签页(如图4),点击下方的“添加”,弹出的“IP筛选器列表”对话框,在“名称”输入框中输入“终端服务”,点击“添加”,进入“IP筛选器向导”窗口,点击“下一步”,在“源地址”下拉列表框中选择“一个特定IP地址”,然后输入该客户机的IP地址和子网掩码,如“192.168.0.2”。点击“下一步”后,在“目标地址”下拉列表框中选择“我的IP地址”,点击“下一步”,接着在“选择协议类型” 中选择“TCP”协议(如图5),点击“下一步”,接着在协议端口中选择“从任意端口,到此端口”,在输入框中填入“3389”,点击“下一步”后完成筛选器的创建(如图6)。
第三步:新建一个阻止操作。切换到“筛选器操作”标签页,点击“添加”按钮,进入到“IP安全筛选器操作向导”,点击“下一步”,给这个操作起一个名字,如“阻止”,点击“下一步”,接着设置“筛选器操作的行为”,选择“阻止”单选项(如图7),点击“下一步”,就完成了“IP安全筛选器操作”的添加工作。
最后在IP安全策略主窗口中,双击第一步建立的“终端服务过滤”安全策略,点击“添加”按钮,进入“创建IP安全规则向导”,点击“下一步”,选择“此规则不指定隧道”,点击“下一步”,在网络类型对话框中选择“局域网”,点击“下一步”,在接下来对话框中选择默认值,点击“下一步”,在IP筛选器列表中选择“终端服务”选项,点击“下一步”,接着在筛选器操作列表中选择“阻止”,最后点击“完成”。
完成了创建IPSec安全策略后,还要进行指派,右键单击“终端服务过滤”,在弹出的菜单中选择“指派”,这样就启用了该IPSec安全策略。局域网中IP为“192.168.0.2”的机器就不能访问Windows 2003终端服务器了。
补充:Windows系统的IPSec安全策略也存在不足,一台机器同时只能有一个策略被指派。
copy一个给你看看
IPSec安全策略应用实例
目的:阻止局域网中IP为“192.168.0.2”的机器访问Windows2003终端服务器。
很多服务器都开通了终端服务,除了使用用户权限控制访问外,还可以创建IPSec安全策略进行限制。
第一步:在Windows 2003服务器的IP安全策略主窗口中,右键点击“IP安全策略,在本地计算机”,选择“创建IP安全策略”选项,进入“IP安全策略向导”,点击“下一步”,在“IP安全策略”名称对话框中输入该策略的名字(如图3),如“终端服务过滤”,点击“下一步”,下面弹出的对话框都选择默认值,最后点击“完成”按钮。
第二步:为该策略创建一个筛选器。右键点击“IP安全策略,在本地计算机”,在菜单中选择“管理IP筛选器表和筛选器操作”,切换到“管理IP筛选器列表”标签页(如图4),点击下方的“添加”,弹出的“IP筛选器列表”对话框,在“名称”输入框中输入“终端服务”,点击“添加”,进入“IP筛选器向导”窗口,点击“下一步”,在“源地址”下拉列表框中选择“一个特定IP地址”,然后输入该客户机的IP地址和子网掩码,如“192.168.0.2”。点击“下一步”后,在“目标地址”下拉列表框中选择“我的IP地址”,点击“下一步”,接着在“选择协议类型” 中选择“TCP”协议(如图5),点击“下一步”,接着在协议端口中选择“从任意端口,到此端口”,在输入框中填入“3389”,点击“下一步”后完成筛选器的创建(如图6)。
第三步:新建一个阻止操作。切换到“筛选器操作”标签页,点击“添加”按钮,进入到“IP安全筛选器操作向导”,点击“下一步”,给这个操作起一个名字,如“阻止”,点击“下一步”,接着设置“筛选器操作的行为”,选择“阻止”单选项(如图7),点击“下一步”,就完成了“IP安全筛选器操作”的添加工作。
最后在IP安全策略主窗口中,双击第一步建立的“终端服务过滤”安全策略,点击“添加”按钮,进入“创建IP安全规则向导”,点击“下一步”,选择“此规则不指定隧道”,点击“下一步”,在网络类型对话框中选择“局域网”,点击“下一步”,在接下来对话框中选择默认值,点击“下一步”,在IP筛选器列表中选择“终端服务”选项,点击“下一步”,接着在筛选器操作列表中选择“阻止”,最后点击“完成”。
完成了创建IPSec安全策略后,还要进行指派,右键单击“终端服务过滤”,在弹出的菜单中选择“指派”,这样就启用了该IPSec安全策略。局域网中IP为“192.168.0.2”的机器就不能访问Windows 2003终端服务器了。
补充:Windows系统的IPSec安全策略也存在不足,一台机器同时只能有一个策略被指派。
kfcoffe 2010-07-29
[Quote=引用 8 楼 arrow_gx 的回复:]
所谓的 SQL 攻击有几种情况
1:通过 1433 端口,直接强力破解密码
2:通过程序漏洞,进行 sql 注入,网络上的 SQL 攻击以此类最多(90% 以上)
解决方法:
1:修改SQL 服务端口,
2:用硬件防火墙 或者 windows IPsec IP 安全策略,限制访问 SQL 服务端口的IP
4:有条件的话,SQL 服务器 和前台服务器分开,限制只能有前台服务器访问 S……
[/Quote]
感谢这位大哥细心的回复。 明白了很多。
windows IPsec IP 安全策略,限制访问 SQL 服务端口的IP---------这个具体怎么弄,能给个例子吗?
所谓的 SQL 攻击有几种情况
1:通过 1433 端口,直接强力破解密码
2:通过程序漏洞,进行 sql 注入,网络上的 SQL 攻击以此类最多(90% 以上)
解决方法:
1:修改SQL 服务端口,
2:用硬件防火墙 或者 windows IPsec IP 安全策略,限制访问 SQL 服务端口的IP
4:有条件的话,SQL 服务器 和前台服务器分开,限制只能有前台服务器访问 S……
[/Quote]
感谢这位大哥细心的回复。 明白了很多。
windows IPsec IP 安全策略,限制访问 SQL 服务端口的IP---------这个具体怎么弄,能给个例子吗?
kfcoffe 2010-07-29
[Quote=引用 2 楼 wufeng4552 的回复:]
sqlserver2000 打上SP4補丁
最好不要用默認1433 端口
[/Quote]
貌是sqlserver2000 你改了端口 别人还是可以列举出来、
sqlserver2000 打上SP4補丁
最好不要用默認1433 端口
[/Quote]
貌是sqlserver2000 你改了端口 别人还是可以列举出来、
kfcoffe 2010-07-29
[Quote=引用 4 楼 billpu 的回复:]
明显别人在用程序穷举你的sqlserver的密码了
更改个端口是临时解决办法
比较保险的办法是反追踪对方的ip,如果是internat环境那就算了,多数是跳板过来的.
另外有个办法是把数据库服务器移到内网来,那样是一劳永逸的办法了
[/Quote]
现在移到内网了,把对外的端口屏蔽了。 暂时解决了
明显别人在用程序穷举你的sqlserver的密码了
更改个端口是临时解决办法
比较保险的办法是反追踪对方的ip,如果是internat环境那就算了,多数是跳板过来的.
另外有个办法是把数据库服务器移到内网来,那样是一劳永逸的办法了
[/Quote]
现在移到内网了,把对外的端口屏蔽了。 暂时解决了
arrow_gx 2010-07-28
所谓的 SQL 攻击有几种情况
1:通过 1433 端口,直接强力破解密码
2:通过程序漏洞,进行 sql 注入,网络上的 SQL 攻击以此类最多(90% 以上)
解决方法:
1:修改SQL 服务端口,
2:用硬件防火墙 或者 windows IPsec IP 安全策略,限制访问 SQL 服务端口的IP
4:有条件的话,SQL 服务器 和前台服务器分开,限制只能有前台服务器访问 SQL 服务
3:程序方面做好防 SQL 注入措施(90%的SQL攻击是从前台漏洞开始的),这方面网上百度一下就是一大堆,就不再累赘说了
1:通过 1433 端口,直接强力破解密码
2:通过程序漏洞,进行 sql 注入,网络上的 SQL 攻击以此类最多(90% 以上)
解决方法:
1:修改SQL 服务端口,
2:用硬件防火墙 或者 windows IPsec IP 安全策略,限制访问 SQL 服务端口的IP
4:有条件的话,SQL 服务器 和前台服务器分开,限制只能有前台服务器访问 SQL 服务
3:程序方面做好防 SQL 注入措施(90%的SQL攻击是从前台漏洞开始的),这方面网上百度一下就是一大堆,就不再累赘说了
Mr_Nice 2010-07-28
[Quote=引用 2 楼 wufeng4552 的回复:]
sqlserver2000 打上SP4補丁
最好不要用默認1433 端口
[/Quote]
up
sqlserver2000 打上SP4補丁
最好不要用默認1433 端口
[/Quote]
up
win7cc 2010-07-28
把网站贴出来看下
billpu 2010-07-28
明显别人在用程序穷举你的sqlserver的密码了
更改个端口是临时解决办法
比较保险的办法是反追踪对方的ip,如果是internat环境那就算了,多数是跳板过来的.
另外有个办法是把数据库服务器移到内网来,那样是一劳永逸的办法了
更改个端口是临时解决办法
比较保险的办法是反追踪对方的ip,如果是internat环境那就算了,多数是跳板过来的.
另外有个办法是把数据库服务器移到内网来,那样是一劳永逸的办法了
jaydom 2010-07-28
完全不懂,纯粹学习,专业帮顶
水族杰纶 2010-07-28
sqlserver2000 打上SP4補丁
最好不要用默認1433 端口
最好不要用默認1433 端口
永生天地 2010-07-28
[socket] 断开连接时,time_wait状态的解释和验证:
http://blog.csdn.net/xys_777/archive/2010/07/21/5751547.aspx
[socket] 大量time wait 解决办法
http://blog.csdn.net/xys_777/archive/2010/07/21/5751539.aspx
http://blog.csdn.net/xys_777/archive/2010/07/21/5751547.aspx
[socket] 大量time wait 解决办法
http://blog.csdn.net/xys_777/archive/2010/07/21/5751539.aspx