Nhận dạng tấn công khi log ghi lại các Ip lạ liên tục login SQL Server

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

Nhận dạng tấn công khi log ghi lại các Ip lạ liên tục login SQL Server

[Question] Nhận dạng tấn công khi log ghi lại các Ip lạ liên tục login SQL Server	11/06/2013 14:26:02 (+0700) \| #1 \| 276507

tyt
Member

Joined: 09/12/2006 14:44:50
Messages: 6
Offline

Mình là IT mới. Hôm nay mở log của SQL Sever ra xem thì thấy có hàng loạt IP lạ (phần lớn trong đó là từ Trung Quốc) cố gắng login vào server bằng cách thử liên tục với các account "sa", "users", "kisadmin" và "sysdba".

Mình chưa có kinh nghiệm lắm về vấn đề bảo mật và tấn công mạng. Bạn nào có kinh nghiệm có thể cho mình biết đây có phải là tấn công không? Tên gọi của hình thức này là gì? Mục đích của nó là gì (vì cty mình không có liên quan gì đến Trung Quốc, có thể là đối tượng random)? Và các giải pháp khắc phục như thế nào?

Cám ơn rất nhiều!

List Ip:
14.17.77.74
61.143.209.110
61.176.223.3
61.160.194.24
61.160.222.70
61.147.103.183
111.67.197.206
112.213.99.249
115.238.155.35
115.28.38.86
115.182.62.224
116.255.167.45
117.40.253.162
121.199.26.215
121.199.34.42
124.161.223.185
173.208.202.189
173.208.175.179
180.186.16.25
183.60.232.238
192.154.104.173
192.74.239.215
192.80.188.200
192.126.113.20
198.13.97.228
204.12.214.43
211.155.122.21
211.155.229.139
218.98.32.116
219.235.3.92
219.235.1.85
221.123.147.216
222.253.207.5
222.134.51.212
222.134.51.212

Một đoạn log tham khảo:
2013-06-10 19:19:13.75 Logon Login failed for user 'sa'. Reason: Password did not match that for the login provided. [CLIENT: 183.60.232.238]
2013-06-10 19:19:13.81 Logon Error: 18456, Severity: 14, State: 5.
2013-06-10 19:19:13.81 Logon Login failed for user 'sysdba'. Reason: Could not find a login matching the name provided. [CLIENT: 183.60.232.238]
2013-06-10 19:19:13.82 Logon Error: 18456, Severity: 14, State: 8.
2013-06-10 19:26:45.48 Logon Login failed for user 'sa'. Reason: Password did not match that for the login provided. [CLIENT: 192.126.113.20]
2013-06-10 19:26:45.91 Logon Error: 18456, Severity: 14, State: 8.
2013-06-10 19:26:45.91 Logon Login failed for user 'sa'. Reason: Password did not match that for the login provided. [CLIENT: 192.126.113.20]
2013-06-10 19:26:46.36 Logon Error: 18456, Severity: 14, State: 8.
2013-06-10 19:26:46.36 Logon Login failed for user 'sa'. Reason: Password did not match that for the login provided.
2013-06-10 19:35:09.28 Logon Login failed for user 'sa'. Reason: Password did not match that for the login provided. [CLIENT: 204.12.214.43]
2013-06-10 19:35:09.78 Logon Error: 18456, Severity: 14, State: 8.
2013-06-10 19:35:09.78 Logon Login failed for user 'sa'. Reason: Password did not match that for the login provided. [CLIENT: 204.12.214.43]
2013-06-10 19:35:10.30 Logon Error: 18456, Severity: 14, State: 8.
2013-06-10 19:35:10.30 Logon Login failed for user 'sa'. Reason: Password did not match that for the login provided. [CLIENT: 204.12.214.43]
2013-06-10 19:35:11.56 Logon Error: 18456, Severity: 14, State: 8.
2013-06-10 19:38:14.33 Logon Login failed for user 'sa'. Reason: Password did not match that for the login provided. [CLIENT: 116.255.167.45]
2013-06-10 19:38:17.53 Logon Error: 18456, Severity: 14, State: 8.

[Question] Nhận dạng tấn công khi log ghi lại các Ip lạ liên tục login SQL Server	11/06/2013 15:03:44 (+0700) \| #2 \| 276508

quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline

tyt wrote:

Bạn nào có kinh nghiệm có thể cho mình biết đây có phải là tấn công không?

Có.

tyt wrote:

Tên gọi của hình thức này là gì?

Brute-force attack.

tyt wrote:

Mục đích của nó là gì (vì cty mình không có liên quan gì đến Trung Quốc, có thể là đối tượng random)?

Nó có rất nhiều chìa khoá, đi qua nhà bạn thấy không có ai ở nhà, lại khoá cửa ngay bên ngoài nên thử thôi, biết đâu lại vào được.

tyt wrote:

Và các giải pháp khắc phục như thế nào?

- Nói chung, DB chỉ nên listen trên LAN IP thôi
- Nếu cần truy cập qua Internet thì setup VPN
- Giới hạn lại các IP được phép truy cập

Let's build on a great foundation!

[Question] Nhận dạng tấn công khi log ghi lại các Ip lạ liên tục login SQL Server	11/06/2013 19:24:10 (+0700) \| #3 \| 276511

mylove14129
Member

Joined: 27/04/2008 19:07:19
Messages: 106
Offline

Đối với dạng tấn công này mình thường ngăn chặn bằng cách sau
1. Không sử dụng những user mặc định của mssql, đặt password đủ phức tạp
2. Chỉ cho phép một vài ip được phép kết nối tới DB server( tốt nhất)

[Question] Nhận dạng tấn công khi log ghi lại các Ip lạ liên tục login SQL Server	12/06/2013 08:05:02 (+0700) \| #4 \| 276520

tyt
Member

Joined: 09/12/2006 14:44:50
Messages: 6
Offline

Cám ơn các bác nhiều. Mình đã cấu hình lại và nãy giờ thấy log không ghi lại thông tin "Try to login" rồi smilie

[Question] Nhận dạng tấn công khi log ghi lại các Ip lạ liên tục login SQL Server	12/06/2013 10:04:52 (+0700) \| #5 \| 276523

ken002
Member

Joined: 12/01/2009 14:16:40
Messages: 29
Offline

Cho mình hỏi cách cấu hình để giới hạn Ip truy cập mysql được không?

[Question] Nhận dạng tấn công khi log ghi lại các Ip lạ liên tục login SQL Server	12/06/2013 13:13:15 (+0700) \| #6 \| 276526

mylove14129
Member

Joined: 27/04/2008 19:07:19
Messages: 106
Offline

ken002 wrote:

Cho mình hỏi cách cấu hình để giới hạn Ip truy cập mysql được không?

Đơn giản nhất là tạo một rule cho firewall của OS, không cần quan tâm đến db mssql hay mysql

[Question] Nhận dạng tấn công khi log ghi lại các Ip lạ liên tục login SQL Server	18/06/2013 09:25:38 (+0700) \| #7 \| 276698

vnsec_net
Member

Joined: 16/08/2012 03:10:58
Messages: 32
Location: VNSEC.NET
Offline

Để thiết lập bảo mật tốt thì Database chỉ cho kết nối ở trong mạng LAN, không liên quan bên ngoài. Khi đó giải pháp là dùng FW chặn cổng là xong.

--
http://www.vnsec.net - Cập nhật tự động danh sách website bị hack!

Go to:

Users currently in here
1 Anonymous