Forum

sql server 2008r2 b...
 
Bildirimler
Hepsini Temizle

sql server 2008r2 brute-force

5 Yazılar
3 Üyeler
0 Reactions
452 Görüntüleme
(@mertkibar)
Gönderiler: 856
Noble Member
Konu başlatıcı
 

slm arkadaşlar bu konuda önceden bir çalışma yapanlarınız vardır diye yazmak istedim. sql serverımızda uzaktan ip ile baglantisi mevcut.

windows loglarina baktigim zaman brute-force yapıldığını farkettim. sa kullanıcısına brute-force atack yapiliyor. loglardaki ipleri firewall üzerinden blockluyorum. fakata yapan kişi yeni bir ip alarak atacklara devam ediyor.. bu olayi çözmenin veya korumanın yöntemleri varmı.

 
Gönderildi : 18/02/2013 00:38

(@ozgurmazlum)
Gönderiler: 2208
Illustrious Member
 

Yen açtığım bir sunucuda ortalam 15 dkda deneme yapmaya başlıyorlar. En garanti çözüm SQL server'a uzaktan erişimi kapamanız. Fakat bu sizin için sorun teşkil ediyorsa sa kullanıcısının disable ederek yeni bir kullanıcı oluşturmanız ve SQL serverin uzaktan bağlantı portunu değşitirmenizde fayda var.

 
Gönderildi : 18/02/2013 12:18

(@oguzhanyilmaz)
Gönderiler: 154
Estimable Member
 

Söyle bir sey olabilir.

Local'de Account Lockout Policy.'i aktif edersen kısmen çözüm olabilir.

net accounts /lockoutduration:30

net accounts /lockoutthreshold:3 

3 yanlis denemede 30 dakika bloklar.

Zamanında SQL'ın ilgili event'ını yakalayıp fail'se otomatik firewall kuralı girdiren bir servis ile çözmüştük. Yinede bela bir şey her SQL'e bir kere geliyor kesin.

Olmadı en sağlamı IP bazlı White List belirlemek. 

 
Gönderildi : 09/03/2013 03:00

(@mertkibar)
Gönderiler: 856
Noble Member
Konu başlatıcı
 

Zamanında SQL'ın ilgili event'ını yakalayıp fail'se otomatik firewall kuralı girdiren bir servis ile çözdüğünü yazmıştın, oğuzhan bey bu olayı nasıl yapmıştınız.

 sql server de böyle ataklar çok oluyor.. korunmanın bir yolu yok mu?

 

 

 
Gönderildi : 19/08/2013 20:05

(@oguzhanyilmaz)
Gönderiler: 154
Estimable Member
 

Event Viewer'ın her event tipine göre task özelliği var (event'e sağ tıklarsan görebilirsin) oradan event'ın içinden kendi yazdığım bir program ile IP'yi ayıklayıp netsh ile firewall'a kural giriyordum basitçe.

Ama daha önce yazdığım gibi en temizi whitelist uygulamak. 

 
Gönderildi : 19/08/2013 21:07

Paylaş: