MSSQL被攻击 使用组策略封IP

5月 2
Year 2009 小桥流水人家 windows

朋友们五一快乐 :) 你们放假了我还要忙呀,不过本职工作,还是义不容辞地~
手上三台windows的服务器,查看其中一台日志发现有大量ID为18456的错误日志:

  1. 事件类型:    审核失败
  2. 事件来源:    MSSQLSERVER
  3. 事件种类:    (4)
  4. 事件 ID:    18456
  5. 日期:        2009-5-2
  6. 事件:        9:51:42
  7. 用户:        N/A
  8. 计算机:    xxx
  9. 描述:
  10. 用户 'administrator' 登录失败。 [客户端: xx.xx.xx.xx]
  1. 事件类型:    审核失败
  2. 事件来源:    MSSQLSERVER
  3. 事件种类:    (4)
  4. 事件 ID:    18456
  5. 日期:        2009-5-2
  6. 事件:        4:52:41
  7. 用户:        N/A
  8. 计算机:    xxx
  9. 描述:
  10. 用户 'admin' 登录失败。 [客户端: xx.xx.xx.xx]


有人[美国佬]尝试用administrator与admin这俩用户来登录,并且穷举密码使用弱口令尝试与mssql取得连接,windows下不知道怎么封IP,google一下 :)
步骤:
开始 -> 运行 -> secpol.msc -> 点击[IP安全策略] -> 在右边空白处点击右键 [创建IP 安全策略] -> 填写名称 -> 去掉 [激活默认相应规则] -> 完成
-> 去掉[使用添加向导] -> 添加 -> 添加 -> 去掉[使用添加向导] -> 添加 -> [源地址]设置对方IP [目标地址]选择我的IP地址 -> 点击规则 -> 筛选器操作 -> 去掉[使用添加向导]
-> 选择[阻止] -> 这样就可以简单使用组策略来封IP了 。

[[[ 如果是远程请务必注意步骤,选项一定要看清楚,否则将会有可能无法与服务器接连 ]]]

, , , Leave a comment

4 Comments

  1. 炜煜 On 7月 14th, 2009 / #1 Reply

    ipsec很好用。其實可以看看服務器總共需要對外提供哪些端口,這些端口開放,然後加一段禁止外部連接的。這樣會安全一些。

  2. 炜煜 On 5月 6th, 2009 / #2 Reply

    MSSQL。。一般我都是看看哪些機器需要連接的,然後做好規劃,接著就把端口堵死。外面連不上的。


    回复:我一点都不懂得啊炜煜,你啥时候有空教教我好吗

  3. CG45 On 5月 5th, 2009 / #3 Reply

    看来小桥老美碰到的只是小菜,地球人都知道装完2k3要改掉管理员的名称,地球人都知道SQL Server有个默认的管理员账户叫SA,呵呵,如果我是管理员,那就直接做一个蜜罐,等他上钩,想黑别人却被别人黑,那才有意思啊


    回复:也对哦,不过windows2003我也不太熟悉耶…有机会还得跟您多请教一下哦!

  4. aisinvon On 5月 5th, 2009 / #4 Reply

    满眼望去,尽是代码啊


    回复:呵呵,学习中呢