简要总结一下过去两周发生的事情:我们注意到我们的 SQL Server 变得异常缓慢。这是我们本地的一个超级计算小组用来运行查询的关键机器。他们经常在我们大学外工作,与他人合作。我们还向他们的合作者提供直接访问权限,因此它位于公共 IP 空间中。
从 SQL 和 Windows 安全日志中注意到,有来自亚洲/中国地区的攻击试图获取访问权限,于是我们加强了管控,现在只允许 SQL 端口 1433 和 RDP 访问我们的校园网络和合作校园。
然而,似乎黑客攻击仍在继续。每分钟仍有 10-20 次尝试登录我们的 SQL 计算机。当我在事件查看器中查看安全日志时,它显示有大量的审核失败信息。
它们的事件 ID 均为 4776,并且没有提供太多详细信息。以下是示例事件日志:
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: marvin
Source Workstation: FATBOY
Error Code: 0xc0000064
经过一番调查,似乎有人试图使用不存在的帐户登录。他们使用的登录帐户名称各不相同,很明显这是黑客的企图。他们使用的名称包括 Admin、administrator、sysadmin、accounting、office、billing 等。
现在,我的问题是,有没有办法可以防止或加强安全性,使网络外部的人甚至无法尝试登录我的服务器?我错误地认为我所要做的就是通过 Windows 防火墙加强 SQL 端口和 RDP 的安全性。我发现他们仍然可以尝试在不使用 RDP 的情况下访问机器。有没有人知道这是如何实现的,有办法阻止它吗?
我当系统管理员的时间不长,我的主管正在度假。我做了充分的研究,但仍然一无所获。上周,事件日志显示了更多有用的细节,例如源 IP 地址,这使我能够确定它们来自哪里,从而得出结论,这是一次明显的黑客攻击。
当前大量的登录尝试导致速度变慢,以至于我们客户端的查询超时。任何有关此问题的帮助或见解都将不胜感激。
谢谢你!
答案1
在服务器前面放置网络防火墙。仅使用 Windows 防火墙就像是把银行金库锁上,但前门却开着。您允许人们进入银行,而他们闯入金库只是时间问题。
在您的网络防火墙(您将要实施)中,只允许流量到您的合作伙伴连接所需的服务器端口(SQL - RDP)并且只允许来自其 IP 地址范围的流量。
运行数据包捕获以获取有关黑客攻击的更多详细信息。您可以在服务器上或另一个工作站上运行此操作(如果您将服务器交换机端口镜像到工作站交换机端口)。
您允许一群未经您审查的人访问您的服务器。您还允许他们的网络(未经审查)访问您的服务器。两者都可能是黑客攻击的来源。暂时阻止他们的访问,以查看这些攻击是否源自他们的网络。
答案2
是的。这就是所谓的防火墙,管理员应该自动知道这一点。安装防火墙,阻止所有您不想要的流量。显然您不会这样做。
除此之外-没有。