我们有一个 Microsoft Azure 虚拟实例,并且在那里安装了 SQL Server 2014 Express 版本。在调查问题时,我们在应用程序部分的 Windows 事件查看器中发现了以下日志。
用户“401hk”登录失败。原因:找不到与提供的名称匹配的登录名。[客户端:220.180.111.229]
我们观察到过去 24 小时内有大约 5250 个这样的请求。一些请求之后 IP 和登录名发生了变化,并且所有 IP(即 220.180.111.229)都位于中国。这是一种 SQL 攻击吗?如果是,那么如何在 Azure 上防止它(不阻止国家)?
答案1
任何暴露在公共互联网上的 Azure 实例都可能遇到这种暴力攻击,它不太可能是针对您个人的协同攻击,而是某种自动端口扫描,用于在 IP 范围内寻找开放端口并尝试常见的用户名/密码组合。这种流量对于云提供商来说尤其常见,因为他们通常会发布其公共 IP 范围的列表,因此很容易扫描。
您可以使用 NSG 限制进入虚拟网络的流量来缓解这种情况。