只是浏览了我在SQL Server中的错误日志,我在清晨(GMT)多次看到以下登录尝试
2018-10-08 02:54:16.56用户'sa'的登录登录失败。原因:找不到与提供的名称匹配的登录名。 [客户:58.218.66.218]
2018-10-08 03:12:49.24登录错误:18456,严重性:14,状态:5。
2018-10-08 03:12:49.24用户'sa'的登录登录失败。原因:找不到与提供的名称匹配的登录名。 [客户:1.188.129.51]
这两个IP都不属于我们的业务。该实例对开放的互联网开放,我现在已将此可访问的地址关闭到最低限度。有人可以让我知道这是否只是标准的蛮力尝试吗?
编辑日志中大约有300行内容,每个主机均分配一个均匀的内容。
谢谢
康纳。
答案 0 :(得分:1)
这可能不是蛮力。相反,如果这些是未知IP,则很可能是扫描程序正在检查数据库实例并检查Microsoft随附帐户的访问权限。
由于默认情况下启用SA且具有SysAdmin服务器角色,因此如果DBA /公司愚蠢到足以将其实例暴露给Internet,将该角色保留为启用状态并且密码非常弱,那么一些幸运的黑客可能会如果他们尝试通过sa进行身份验证并猜测密码(即您将其设置为“管理员”),则将在您的数据库中使用。
最佳做法是使用非常长的密码设置SA帐户,禁用该帐户,并将您的实例设置为仅允许Windows身份验证,而不是混合使用。