如果我发现有人暴力破解我的服务器密码,我该怎么办?

如果我发现有人暴力破解我的服务器密码,我该怎么办?

我刚刚检查了我的 vps 上的事件日志,发现有人正在暴力破解我的 sql server sa 密码和 windows 管理员密码。(我已将帐户名从管理员更改为其他名称,但他们使用的是正确的帐户名!)

我能做些什么来阻止他们这样做?我的操作系统是 Windows Server 2008 R2 和 SQL Server 2008 R2 Express。

编辑:看来攻击 IP 地址一直在变化。因此,阻止它们需要花费很大力气。

答案1

不幸的是,对于任何暴露在公共互联网上的服务器来说,这几乎是生活中的现实。总会有一些白痴试图入侵。我的私人服务器每天都会经历几千次无效登录尝试。

您可以在前面放置防火墙,并将端口从不知名端口转发到 RDP 端口。这不会保护任何东西,但至少会减少部分流量。

您可以将日志中最常见的 IP 地址报告给相关服务提供商(使用 whois 查找给定 IP 地址的服务提供商。whois 响应还会为您提供滥用和垃圾邮件的电子邮件地址)。我过去曾在这方面取得过一些成功。

在 Linux 机器上,我总是推荐一个名为 fail2ban 的软件包,它可以监控 ssh 日志,然后创建临时防火墙规则来阻止来自这些地址的任何 ssh 流量。这通常可以阻止攻击。抱歉,我不知道 Windows Server 有任何等效软件包。

答案2

实际上,使其更长(例如 30 个字符的密码)并定期更改。

为什么你的 SQL Server 也暴露在互联网上?

答案3

解决暴力攻击的办法(除了阻止其他答案中提到的访问之外)是降低其成功的可能性。

  • 复杂的密码(没有常用词、特殊字符、大小写混合、加入一些数字...至少 8 个字符长...我的是 15 个或更多。)
  • 登录尝试计时器。如果您只允许每 15 秒一次或每分钟 3 次尝试,或者您可以限制它,那么自动攻击就无法发送大量登录尝试。
  • 锁定策略... 3 次尝试失败,系统将锁定一段时间,即半小时。如果是管理员帐户,这自然会很麻烦。

答案4

你为什么要做你的数据库服务器可访问只是任何人首先?你应该允许有选择地。在防火墙规则中,将您的 LAN(显然)、公司拥有的任何 IP 范围(例如,用于其他位置)以及您的家庭 ISP 使用的 IP 地址块列入白名单(如果例如,有时您需要在家进行维护或紧急故障排除;如果不是,则忽略下一段)。

如果您觉得将整个 ISP 列入白名单似乎有点过于宽容,那么可以游说您的公司使用静态 IP 地址为您的家庭企业级服务付费,或者冒险将 DHCP 分配的 IP 地址列入白名单,因为该 IP 地址不会经常更改。(然后定期检查它是否已更改,并相应地更新您的白名单。)显然,使用静态 IP 地址的解决方案最安全、最可靠。(如果您向管理层解释攻击的频率和所涉及的风险,他们可能会意识到每月 50 美元要便宜得多

此预防措施可与其他措施,例如:

  • 使用不知名的端口
  • 使用失败2ban或者系统和平
  • 长而复杂的密码
  • 登录尝试之间的延迟

相关内容