banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Có phải mình đang bị tấn công qua port 1433  XML
  [Question]   Có phải mình đang bị tấn công qua port 1433 01/05/2007 13:40:12 (+0700) | #1 | 56592
[Avatar]
angel_of_devil
Member

[Minus]    0    [Plus]
Joined: 23/10/2004 14:57:09
Messages: 154
Offline
[Profile] [PM]
Server chạy ổn định thì hôm nay chạy như rùa vì quá nhiều traffic qua port 1433
Mình chạy MS SQL 2005
Sau đây là log của firewall:

Code:
Time:		 4/30/2007 1:31:04 PM
Event:		 Traffic
Address:	 222.252.196.177
Description:	 SQL Server Windows NT (sqlservr.exe)
Path:		 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
Message:	 Allowed Incoming TCP -  Source 222.252.196.177 :  (3344)  Destination 10.0.0.1 :  (1433)

Time:		 4/30/2007 1:31:05 PM
Event:		 Traffic
Address:	 222.252.196.177
Description:	 SQL Server Windows NT (sqlservr.exe)
Path:		 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
Message:	 Allowed Incoming TCP -  Source 222.252.196.177 :  (3364)  Destination 10.0.0.1 :  (1433)

Time:		 4/30/2007 1:31:05 PM
Event:		 Traffic
Address:	 222.252.196.177
Description:	 SQL Server Windows NT (sqlservr.exe)
Path:		 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
Message:	 Allowed Incoming TCP -  Source 222.252.196.177 :  (3364)  Destination 10.0.0.1 :  (1433)

Time:		 4/30/2007 1:31:05 PM
Event:		 Traffic
Address:	 222.252.196.177
Description:	 SQL Server Windows NT (sqlservr.exe)
Path:		 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
Message:	 Allowed Incoming TCP -  Source 222.252.196.177 :  (3381)  Destination 10.0.0.1 :  (1433)

Time:		 4/30/2007 1:31:06 PM
Event:		 Traffic
Address:	 222.252.196.177
Description:	 SQL Server Windows NT (sqlservr.exe)
Path:		 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
Message:	 Allowed Incoming TCP -  Source 222.252.196.177 :  (3381)  Destination 10.0.0.1 :  (1433)

Time:		 4/30/2007 1:31:06 PM
Event:		 Traffic
Address:	 222.252.196.177
Description:	 SQL Server Windows NT (sqlservr.exe)
Path:		 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
Message:	 Allowed Incoming TCP -  Source 222.252.196.177 :  (3397)  Destination 10.0.0.1 :  (1433)

Time:		 4/30/2007 1:31:06 PM
Event:		 Traffic
Address:	 222.252.196.177
Description:	 SQL Server Windows NT (sqlservr.exe)
Path:		 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
Message:	 Allowed Incoming TCP -  Source 222.252.196.177 :  (3397)  Destination 10.0.0.1 :  (1433)

Time:		 4/30/2007 1:31:07 PM
Event:		 Traffic
Address:	 222.252.196.177
Description:	 SQL Server Windows NT (sqlservr.exe)
Path:		 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
Message:	 Allowed Incoming TCP -  Source 222.252.196.177 :  (3415)  Destination 10.0.0.1 :  (1433)

Time:		 4/30/2007 1:31:07 PM
Event:		 Traffic
Address:	 222.252.196.177
Description:	 SQL Server Windows NT (sqlservr.exe)
Path:		 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
Message:	 Allowed Incoming TCP -  Source 222.252.196.177 :  (3415)  Destination 10.0.0.1 :  (1433)

Time:		 4/30/2007 1:31:07 PM
Event:		 Application
Description:	 Windows NT BASE API Client DLL (kernel32.dll)
Path:		 C:\WINDOWS\system32\Kernel32.dll
Message:	 Allowed Application Hook

Time:		 4/30/2007 1:31:08 PM
Event:		 Traffic
Address:	 222.252.196.177
Description:	 SQL Server Windows NT (sqlservr.exe)
Path:		 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
Message:	 Allowed Incoming TCP -  Source 222.252.196.177 :  (3592)  Destination 10.0.0.1 :  (1433)

Time:		 4/30/2007 1:31:08 PM
Event:		 Traffic
Address:	 222.252.196.177
Description:	 SQL Server Windows NT (sqlservr.exe)
Path:		 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
Message:	 Allowed Incoming TCP -  Source 222.252.196.177 :  (3592)  Destination 10.0.0.1 :  (1433)

Time:		 4/30/2007 1:31:09 PM
Event:		 Traffic
Address:	 222.252.196.177
Description:	 SQL Server Windows NT (sqlservr.exe)
Path:		 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
Message:	 Allowed Incoming TCP -  Source 222.252.196.177 :  (3611)  Destination 10.0.0.1 :  (1433)

Time:		 4/30/2007 1:31:09 PM
Event:		 Traffic
Address:	 222.252.196.177
Description:	 SQL Server Windows NT (sqlservr.exe)
Path:		 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
Message:	 Allowed Incoming TCP -  Source 222.252.196.177 :  (3611)  Destination 10.0.0.1 :  (1433)

Time:		 4/30/2007 1:31:10 PM
Event:		 Traffic
Address:	 222.252.196.177
Description:	 SQL Server Windows NT (sqlservr.exe)
Path:		 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
Message:	 Allowed Incoming TCP -  Source 222.252.196.177 :  (3627)  Destination 10.0.0.1 :  (1433)

Time:		 4/30/2007 1:31:10 PM
Event:		 Traffic
Address:	 222.252.196.177
Description:	 SQL Server Windows NT (sqlservr.exe)
Path:		 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
Message:	 Allowed Incoming TCP -  Source 222.252.196.177 :  (3627)  Destination 10.0.0.1 :  (1433)

Time:		 4/30/2007 1:31:10 PM
Event:		 Traffic
Address:	 222.252.196.177
Description:	 SQL Server Windows NT (sqlservr.exe)
Path:		 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
Message:	 Allowed Incoming TCP -  Source 222.252.196.177 :  (3644)  Destination 10.0.0.1 :  (1433)

Time:		 4/30/2007 1:31:10 PM
Event:		 Traffic
Address:	 222.252.196.177
Description:	 SQL Server Windows NT (sqlservr.exe)
Path:		 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
Message:	 Allowed Incoming TCP -  Source 222.252.196.177 :  (3644)  Destination 10.0.0.1 :  (1433)

Time:		 4/30/2007 1:31:11 PM
Event:		 Traffic
Address:	 222.252.196.177
Description:	 SQL Server Windows NT (sqlservr.exe)
Path:		 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
Message:	 Allowed Incoming TCP -  Source 222.252.196.177 :  (3663)  Destination 10.0.0.1 :  (1433)

Time:		 4/30/2007 1:31:11 PM
Event:		 Traffic
Address:	 222.252.196.177
Description:	 SQL Server Windows NT (sqlservr.exe)
Path:		 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
Message:	 Allowed Incoming TCP -  Source 222.252.196.177 :  (3663)  Destination 10.0.0.1 :  (1433)

Time:		 4/30/2007 1:31:12 PM
Event:		 Traffic
Address:	 222.252.196.177
Description:	 SQL Server Windows NT (sqlservr.exe)
Path:		 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
Message:	 Allowed Incoming TCP -  Source 222.252.196.177 :  (3842)  Destination 10.0.0.1 :  (1433)

Time:		 4/30/2007 1:31:12 PM
Event:		 Traffic
Address:	 222.252.196.177
Description:	 SQL Server Windows NT (sqlservr.exe)
Path:		 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
Message:	 Allowed Incoming TCP -  Source 222.252.196.177 :  (3842)  Destination 10.0.0.1 :  (1433)

Time:		 4/30/2007 1:31:13 PM
Event:		 Traffic
Address:	 222.252.196.177
Description:	 SQL Server Windows NT (sqlservr.exe)
Path:		 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
Message:	 Allowed Incoming TCP -  Source 222.252.196.177 :  (3859)  Destination 10.0.0.1 :  (1433)

Time:		 4/30/2007 1:31:13 PM
Event:		 Traffic
Address:	 222.252.196.177
Description:	 SQL Server Windows NT (sqlservr.exe)
Path:		 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
Message:	 Allowed Incoming TCP -  Source 222.252.196.177 :  (3859)  Destination 10.0.0.1 :  (1433)

Time:		 4/30/2007 1:31:14 PM
Event:		 Traffic
Address:	 222.252.196.177
Description:	 SQL Server Windows NT (sqlservr.exe)
Path:		 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
Message:	 Allowed Incoming TCP -  Source 222.252.196.177 :  (3876)  Destination 10.0.0.1 :  (1433)

Time:		 4/30/2007 1:31:14 PM
Event:		 Traffic
Address:	 222.252.196.177
Description:	 SQL Server Windows NT (sqlservr.exe)
Path:		 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
Message:	 Allowed Incoming TCP -  Source 222.252.196.177 :  (3876)  Destination 10.0.0.1 :  (1433)

Time:		 4/30/2007 1:31:15 PM
Event:		 Traffic
Address:	 222.252.196.177
Description:	 SQL Server Windows NT (sqlservr.exe)
Path:		 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
Message:	 Allowed Incoming TCP -  Source 222.252.196.177 :  (3893)  Destination 10.0.0.1 :  (1433)

Time:		 4/30/2007 1:31:15 PM
Event:		 Traffic
Address:	 222.252.196.177
Description:	 SQL Server Windows NT (sqlservr.exe)
Path:		 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
Message:	 Allowed Incoming TCP -  Source 222.252.196.177 :  (3893)  Destination 10.0.0.1 :  (1433)

Time:		 4/30/2007 1:31:15 PM
Event:		 Traffic
Address:	 222.252.196.177
Description:	 SQL Server Windows NT (sqlservr.exe)
Path:		 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
Message:	 Allowed Incoming TCP -  Source 222.252.196.177 :  (3912)  Destination 10.0.0.1 :  (1433)

Time:		 4/30/2007 1:31:16 PM
Event:		 Traffic
Address:	 222.252.196.177
Description:	 SQL Server Windows NT (sqlservr.exe)
Path:		 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
Message:	 Allowed Incoming TCP -  Source 222.252.196.177 :  (3912)  Destination 10.0.0.1 :  (1433)

Time:		 4/30/2007 1:31:16 PM
Event:		 Traffic
Address:	 222.252.196.177
Description:	 SQL Server Windows NT (sqlservr.exe)
Path:		 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
Message:	 Allowed Incoming TCP -  Source 222.252.196.177 :  (4091)  Destination 10.0.0.1 :  (1433)

Time:		 4/30/2007 1:31:16 PM
Event:		 Traffic
Address:	 222.252.196.177
Description:	 SQL Server Windows NT (sqlservr.exe)
Path:		 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
Message:	 Allowed Incoming TCP -  Source 222.252.196.177 :  (4091)  Destination 10.0.0.1 :  (1433)

Time:		 4/30/2007 1:31:17 PM
Event:		 Traffic
Address:	 222.252.196.177
Description:	 SQL Server Windows NT (sqlservr.exe)
Path:		 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
Message:	 Allowed Incoming TCP -  Source 222.252.196.177 :  (4107)  Destination 10.0.0.1 :  (1433)

Time:		 4/30/2007 1:31:17 PM
Event:		 Traffic
Address:	 222.252.196.177
Description:	 SQL Server Windows NT (sqlservr.exe)
Path:		 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
Message:	 Allowed Incoming TCP -  Source 222.252.196.177 :  (4107)  Destination 10.0.0.1 :  (1433)

Time:		 4/30/2007 1:31:18 PM
Event:		 Traffic
Address:	 222.252.196.177
Description:	 SQL Server Windows NT (sqlservr.exe)
Path:		 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
Message:	 Allowed Incoming TCP -  Source 222.252.196.177 :  (4125)  Destination 10.0.0.1 :  (1433)

................(tương tự).......................


Hiện tại mình block port 1433 ở router để server đỡ bị nghẽn rồi

Mong mọi người giúp đỡ và cho advive smilie(

Thanks
Ngoảnh nhìn lại cuộc đời như giấc mộng
Được mất bại thành bỗng chốc hoá hư không
[Up] [Print Copy]
  [Question]   Re: Giúp mình với huhu 01/05/2007 13:58:34 (+0700) | #2 | 56593
[Avatar]
angel_of_devil
Member

[Minus]    0    [Plus]
Joined: 23/10/2004 14:57:09
Messages: 154
Offline
[Profile] [PM]
Đây là hình netstat hiện tại, vì lúc bị nghẽn, mình quên ko chụp hình, ko thì có cả một loạt kết nối từ IP 222.252.196.177 đến server qua port 1433







Huhu
Ngoảnh nhìn lại cuộc đời như giấc mộng
Được mất bại thành bỗng chốc hoá hư không
[Up] [Print Copy]
  [Question]   Re: Giúp mình với huhu 01/05/2007 14:16:50 (+0700) | #3 | 56595
[Avatar]
angel_of_devil
Member

[Minus]    0    [Plus]
Joined: 23/10/2004 14:57:09
Messages: 154
Offline
[Profile] [PM]
Chủ nhân của IP kia ở TP mang tên Bác: smilie

Code:
inetnum:      222.252.128.0 - 222.252.255.255
netname:      vtn-net
country:      vn
descr:        Vietnam Telecom National
admin-c:      HT251-AP
tech-c:       NV54-AP
status:       ALLOCATED NON-PORTABLE
changed:      <a href="mailto:hm-changed@vnnic.net.vn">hm-changed@vnnic.net.vn</a> 20061025
mnt-by:       MAINT-VN-VNPT
source:       APNIC

person:       Hoang Thi Bich Thuy
nic-hdl:      HT251-AP
e-mail:       <a href="mailto:thuyhb_vtn@vnpt.com.vn">thuyhb_vtn@vnpt.com.vn</a>
address:      57A Huynh Thuc Khang, Ha Noi
phone:        +84-477-34735
fax-no:       +84-477-34740
country:      vn
changed:      <a href="mailto:hm-changed@vnnic.net.vn">hm-changed@vnnic.net.vn</a> 20061025
mnt-by:       MAINT-VN-VNPT
source:       APNIC

person:       Nguyen Vu Dung
nic-hdl:      NV54-AP
e-mail:       <a href="mailto:dungnv_vtn@vnpt.com.vn">dungnv_vtn@vnpt.com.vn</a>
address:      57 A Huynh Thuc Khang, Ha Noi
phone:        +84-477-34736
fax-no:       +84-477-34740
country:      vn
changed:      <a href="mailto:hm-changed@vnnic.net.vn">hm-changed@vnnic.net.vn</a> 20061025
mnt-by:       MAINT-VN-VNPT
source:       APNIC
Ngoảnh nhìn lại cuộc đời như giấc mộng
Được mất bại thành bỗng chốc hoá hư không
[Up] [Print Copy]
  [Question]   Có phải mình đang bị tấn công qua port 1433 02/05/2007 02:56:57 (+0700) | #4 | 56671
[Avatar]
angel_of_devil
Member

[Minus]    0    [Plus]
Joined: 23/10/2004 14:57:09
Messages: 154
Offline
[Profile] [PM]
Mình đã sửa lại rồi, mong mọi người giúp đỡ smilie(
Ngoảnh nhìn lại cuộc đời như giấc mộng
Được mất bại thành bỗng chốc hoá hư không
[Up] [Print Copy]
  [Question]   Re: Có phải mình đang bị tấn công qua port 1433 02/05/2007 05:11:27 (+0700) | #5 | 56685
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Bồ cho biết,
- những server nào khác dùng mssql service?
- tại sao server chạy mssql lại tiếp diện (hoặc route) thẳng với Internet?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Có phải mình đang bị tấn công qua port 1433 02/05/2007 23:33:39 (+0700) | #6 | 56793
[Avatar]
angel_of_devil
Member

[Minus]    0    [Plus]
Joined: 23/10/2004 14:57:09
Messages: 154
Offline
[Profile] [PM]
Mục đích của mình open port 1433 là để connect từ PC ở nhà để connect đến SQL ở server của cty để làm việc. Hiện tại mình đã tạo 1 virtual port trỏ đến 1433 ở cty rồi. Vả lại, mình mới dùng SQL 2005 nên chưa rõ cơ chế của nó lắm.
Ngoảnh nhìn lại cuộc đời như giấc mộng
Được mất bại thành bỗng chốc hoá hư không
[Up] [Print Copy]
  [Question]   Có phải mình đang bị tấn công qua port 1433 02/05/2007 23:49:06 (+0700) | #7 | 56797
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

angel_of_devil wrote:
Mục đích của mình open port 1433 là để connect từ PC ở nhà để connect đến SQL ở server của cty để làm việc. Hiện tại mình đã tạo 1 virtual port trỏ đến 1433 ở cty rồi. Vả lại, mình mới dùng SQL 2005 nên chưa rõ cơ chế của nó lắm. 


Ra vậy.

Tuyệt đối nên tránh mở cổng các database server ra ngoài Internet, đặc biệt MSSQL bởi vì nhiều server dùng mặc định sa account --> tiêu. Nhẹ hơn thì bị brute force để đoán account login hoặc bị DoS cho... bõ ghét.

Có thể trường hợp bồ gặp phải là đang bị brute force đó.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Có phải mình đang bị tấn công qua port 1433 02/05/2007 23:55:15 (+0700) | #8 | 56798
[Avatar]
angel_of_devil
Member

[Minus]    0    [Plus]
Joined: 23/10/2004 14:57:09
Messages: 154
Offline
[Profile] [PM]
Ok thanks. Về mật khẩu sa thì mình ko để blank rồi. Vì y/c công việc nên mình vẫn phải mở port 1433 trên server. Giải pháp hiện tại là dùng virtual port thôi. Lúc nào bị dò ra port thì lại đổi. Hơi mất công 1 tí nhưng đành phải chịu thôi, biết làm sao đc. Ai có giải pháp nào hay hơn chỉ bảo cho mình nhé. Cảm ơn conmale nhiều. Have a nice day!
Ngoảnh nhìn lại cuộc đời như giấc mộng
Được mất bại thành bỗng chốc hoá hư không
[Up] [Print Copy]
  [Question]   Có phải mình đang bị tấn công qua port 1433 04/05/2007 13:23:39 (+0700) | #9 | 57060
[Avatar]
phamquoc_truong
Elite Member

[Minus]    0    [Plus]
Joined: 04/04/2004 07:54:12
Messages: 79
Location: PeaceWorld
Offline
[Profile] [PM]
Mở cổng SQL Server chạy thẳng ra Internet khá là nguy hiểm. Cách tốt nhất là VPN ^_^.

HAVE FUN !
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|