Bildirimler
Hepsini Temizle

sql server 2008r2 brute-force  

  RSS
Mert Kibar
(@mertkibar)
Üye

slm arkadaşlar bu konuda önceden bir çalışma yapanlarınız vardır diye yazmak istedim. sql serverımızda uzaktan ip ile baglantisi mevcut.

windows loglarina baktigim zaman brute-force yapıldığını farkettim. sa kullanıcısına brute-force atack yapiliyor. loglardaki ipleri firewall üzerinden blockluyorum. fakata yapan kişi yeni bir ip alarak atacklara devam ediyor.. bu olayi çözmenin veya korumanın yöntemleri varmı.

Alıntı
Gönderildi : 17/02/2013 23:38
Özgür MAZLUM
(@ozgurmazlum)
Kıdemli Üye

Yen açtığım bir sunucuda ortalam 15 dkda deneme yapmaya başlıyorlar. En garanti çözüm SQL server'a uzaktan erişimi kapamanız. Fakat bu sizin için sorun teşkil ediyorsa sa kullanıcısının disable ederek yeni bir kullanıcı oluşturmanız ve SQL serverin uzaktan bağlantı portunu değşitirmenizde fayda var.

CevapAlıntı
Gönderildi : 18/02/2013 11:18
Oğuzhan YILMAZ
(@oguzhanyilmaz)
Üye

Söyle bir sey olabilir.

Local'de Account Lockout Policy.'i aktif edersen kısmen çözüm olabilir.

net accounts /lockoutduration:30

net accounts /lockoutthreshold:3 

3 yanlis denemede 30 dakika bloklar.

Zamanında SQL'ın ilgili event'ını yakalayıp fail'se otomatik firewall kuralı girdiren bir servis ile çözmüştük. Yinede bela bir şey her SQL'e bir kere geliyor kesin.

Olmadı en sağlamı IP bazlı White List belirlemek. 

CevapAlıntı
Gönderildi : 09/03/2013 02:00
Mert Kibar
(@mertkibar)
Üye

Zamanında SQL'ın ilgili event'ını yakalayıp fail'se otomatik firewall kuralı girdiren bir servis ile çözdüğünü yazmıştın, oğuzhan bey bu olayı nasıl yapmıştınız.

 sql server de böyle ataklar çok oluyor.. korunmanın bir yolu yok mu?

 

 

CevapAlıntı
Gönderildi : 19/08/2013 20:05
Oğuzhan YILMAZ
(@oguzhanyilmaz)
Üye

Event Viewer'ın her event tipine göre task özelliği var (event'e sağ tıklarsan görebilirsin) oradan event'ın içinden kendi yazdığım bir program ile IP'yi ayıklayıp netsh ile firewall'a kural giriyordum basitçe.

Ama daha önce yazdığım gibi en temizi whitelist uygulamak. 

CevapAlıntı
Gönderildi : 19/08/2013 21:07
Paylaş: