阿里云事件查看器显示大量的数据库 SA 登录失败 [客户端: ]

Squall001 2017-03-16 02:33:54

如上图：我最先是把1433裸露出来的，后来就是从事件查看器中看到，那些人天天来猜我的密码，所以我就把原来1433端口改为另外一个端口了，好了几天，结果这些猜密码的又来了，这次让我困惑的是之前上图中红框显示的客户端一般都是某个IP地址，我一般在防火墙的禁止访问规则就把那些IP屏蔽掉，而现在显示的都是local machine，请问这个是怎么回事？

...全文

677 14 打赏收藏转发到动态举报

写回复

用AI写文章

14 条回复

切换为时间正序

请发表友善的回复…

发表回复

Squall001 2017-03-19

打赏
举报

引用 11 楼 ying1234 的回复:

[quote=引用 9 楼 ying1234 的回复:] 数据库服务器最基本安全措施就是数据库sa用户禁用吧？你自已建用户嘛，控制权限。数据库默认的1433端口也改了，服务器远程的端口只对规定ip开放,好点的做法是开放到vpn的ip，数据库管理者连上vpn再远程数据库服务器。远程端口只对指定ip开放可以用ip安全策略实现。

本机上(win7为例)设置与VPN服务器的链接，找开网络和共享中心->设置新的连接或网络-->选连接到工作区(设置到你的工作区的拨号或VPN连接)->然后按提示步骤操作就行，连接到工作区这步里internet地址填VPN服务器所设置的IP地址。然后VPN服务器的设置，这个不是很清楚，你公司有网管的话让他设一下就可以了，大概知道VPN服务器端是在路由和远程程访问里设的，设一个对外开放的IP，还有好几个步骤不记得了。然后建一个用户，只给一个VPN拨入权限。[/quote] 其实我这个是阿里云，我大概了解这个意思了，我觉得是不是可以用防火墙即可。然后对防火墙只开设一个IP可以连入的，他们就弄不进来了吧，然后把那个连入设置为VPN的地址

ying1234 2017-03-18

打赏
举报

其实的话，更安全的做法是VPN服务器和数据库服务器最好在一个机房，通过局域网可以连，VPN服务器上搞2个网卡，一个外网网卡，和客户端连，一个内网IP，和数据库服务器连。

ying1234 2017-03-18

打赏
举报

引用 9 楼 ying1234 的回复:

数据库服务器最基本安全措施就是数据库sa用户禁用吧？你自已建用户嘛，控制权限。数据库默认的1433端口也改了，服务器远程的端口只对规定ip开放,好点的做法是开放到vpn的ip，数据库管理者连上vpn再远程数据库服务器。远程端口只对指定ip开放可以用ip安全策略实现。

wq1234wq 2017-03-18

打赏
举报

单台服务器禁用TCP，使用SharedMemory,性能好还安全。

Squall001 2017-03-18

打赏
举报

引用 9 楼 ying1234 的回复:

数据库服务器最基本安全措施就是数据库sa用户禁用吧？你自已建用户嘛，控制权限。数据库默认的1433端口也改了，服务器远程的端口只对规定ip开放,好点的做法是开放到vpn的ip，数据库管理者连上vpn再远程数据库服务器。远程端口只对指定ip开放可以用ip安全策略实现。

好建议，另外拿个服务器建个VPN？有教程么忘提供下大概方式

ying1234 2017-03-17

打赏
举报

数据库服务器最基本安全措施就是数据库sa用户禁用吧？你自已建用户嘛，控制权限。数据库默认的1433端口也改了，服务器远程的端口只对规定ip开放,好点的做法是开放到vpn的ip，数据库管理者连上vpn再远程数据库服务器。远程端口只对指定ip开放可以用ip安全策略实现。

Squall001 2017-03-16

打赏
举报

引用 7 楼 hanjun0612 的回复:

[quote=引用 5 楼 Squall001 的回复:] 请问他这个现实local machine 是正常的么？他每秒钟猜了近100次密码，我这个两三天就被猜中了啊。。。。我现在密码还不敢随便改，因为服务器数据库挂了几个站的应用，给他们都是SA，密码是6位的，英文加数字。。。感觉有点危险

应该不正常。如果是通过远程连接的话，一般是ip地址。而你的local machine感觉有问题了。（不过这也只是我猜测）你先扫描一下文件或者杀个毒把。等有时间了。按照帖子里试试 http://www.2cto.com/database/201411/351107.html[/quote] 好的谢谢回复但是服务器用起的我杀个毒是否直接下个360扫描下？

by_封爱 2017-03-16

打赏
举报

正常不用管. 就是那种大范围的扫描而已攻击不进去的..

以专业开发人员为伍 2017-03-16

打赏
举报

你的数据库直接远程访问？那么“那些人”可真笨！直接拿到你的客户端应用，不用反编译程序，非常简单的拦截，几秒钟就知道你的 SQL Server 密码了。人家可能猜到你把 IP 封了，把程序传到你租的电脑上，然后让它执行。另外最大的可能其实就是：你自己有某个程序有 bug。

正怒月神版主 2017-03-16

打赏
举报

引用 5 楼 Squall001 的回复:

请问他这个现实local machine 是正常的么？他每秒钟猜了近100次密码，我这个两三天就被猜中了啊。。。。我现在密码还不敢随便改，因为服务器数据库挂了几个站的应用，给他们都是SA，密码是6位的，英文加数字。。。感觉有点危险

应该不正常。如果是通过远程连接的话，一般是ip地址。而你的local machine感觉有问题了。（不过这也只是我猜测）你先扫描一下文件或者杀个毒把。等有时间了。按照帖子里试试 http://www.2cto.com/database/201411/351107.html

bug810 2017-03-16

打赏
举报

更多的可能是你的页面bug，对方注入了代码在猜测密码，

Squall001 2017-03-16

打赏
举报

引用 4 楼 hanjun0612 的回复:

我也一直遇到大范围扫描，然后猜密码。。。。 16位密码md5成32位，让他猜到死

请问他这个现实local machine 是正常的么？他每秒钟猜了近100次密码，我这个两三天就被猜中了啊。。。。我现在密码还不敢随便改，因为服务器数据库挂了几个站的应用，给他们都是SA，密码是6位的，英文加数字。。。感觉有点危险

正怒月神版主 2017-03-16

打赏
举报

我也一直遇到大范围扫描，然后猜密码。。。。 16位密码md5成32位，让他猜到死

Squall001 2017-03-16

打赏
举报

引用 1 楼 sp1234 的回复:

你的数据库直接远程访问？那么“那些人”可真笨！直接拿到你的客户端应用，不用反编译程序，非常简单的拦截，几秒钟就知道你的 SQL Server 密码了。人家可能猜到你把 IP 封了，把程序传到你租的电脑上，然后让它执行。另外最大的可能其实就是：你自己有某个程序有 bug。

感谢你的回复根据你的解释我有点疑惑，就是他既然能把程序传到我服务器上面了，并且还让它执行了，那他直接拿我服务器就行了吧，为什么还要去猜我数据库密码呢？我数据库和应用都是放在那个服务器内部的，我应用就是网页，我远程访问数据库是为了方便我调试东西所用，正常的应用和数据库连接还是写在程序内的，外部用户只能提交表单提交数据，然后程序处理后连接数据库写数据进去。