我相信我的服务器一直是针对SQL Server 2005(SQLExpress)的暴力攻击的持续目标。我的事件查看器日志填充了SQL Server的“失败审核”消息。尝试通常持续一两个小时,尝试间隔1-2秒。
用户'sa'登录失败[客户端:222.169.224.163]
事件ID:18456。根据SQL Server日志中的匹配条目,我发现每次登录都因密码不匹配而失败。我也看到了其他用户的尝试,包括'administrator'和'administrador'。每个会话来自不同的IP地址,来自意大利和中国等国家。
可以采取哪些对策?我不想锁定用户帐户,因为我的网站和应用程序无法访问服务器。有没有办法通过SQL Server 2005来限制登录尝试?例如。几何增加失败的登录尝试之间的“等待期”?
答案 0 :(得分:5)
我没有办法限制我知道的SQL服务器的登录尝试。但是,我有点好奇互联网用户是如何做到这一点的。你不是在防火墙后面吗? 这是一些可怕的访问,应该尽快纠正。
我的网络服务器位于防火墙后面,唯一允许访问的端口是80和443。
答案 1 :(得分:3)
虽然这不是您的问题的答案,但将数据库服务器暴露给Internet绝不是一个好习惯。提供Web服务以安全方式访问数据,并将服务器隐藏在防火墙后面。
答案 2 :(得分:1)
考虑使用防火墙阻止SQL Server端口(1433)上的传入连接。
答案 3 :(得分:0)
快速修复是重命名sa帐户并修改依赖于此Sql Server的服务上的连接参数。
ALTER LOGIN sa DISABLE;
ALTER LOGIN sa WITH NAME = [sys12-21admin];
(当然,请选择与建议名称不同的其他名称。)
有关详细信息http://blogs.msdn.com/sqltips/archive/2005/08/27/457184.aspx
通过增加失败登录尝试之间的“等待时间”,您可以拒绝正确访问Sql Server。
据我所知,应用程序使用“sa”登录来执行日常任务,这可能导致帐户被锁定。如果发生这种情况,请使用http://www.windowsecurity.com/articles/Hacking_an_SQL_Server.html
这是另一个安全问题当然是因为您应该尽快停止访问,因为在早期帖子中已经过时了。