相信大家都对sql server实例名的tcp/ip协议不陌生吧,ip地址里面有个tcp端口,初学者在网上搜罗教程,都是说将其配置为1433。呵呵,我也不例外。
我今天深受其坑,公司服务器的1433不幸被黑客扫描到了,以每秒50次的频率,发送请求,企图以字典碰撞方式,暴力破解sql server 数据库的sa密码,累计了好几个月,log文件夹都有十多个G了。
在小公司我们不单单是个码农,课件制作,服务器维护,打印机维修,电脑维修,手机维修,打扫卫生,都要做,做好一个全能骑士,做好一个奶妈,哈哈。
看到每行日志有个ip,第一时间想到的就是让服务器拒绝某个ip访问。于是我就在自己的电脑上模拟了一下拒绝Ip的访问设置,觉得差不多的时候,到服务器上一个看,悲催的发现,服务器上没有这个功能,别问我为什么没有,问了我也不说,哈哈。无奈之下,和boss说了,实在不行换个系统,把服务器重新部署一下,工作量确实不小啊。
重新整理了一下思路,既然他是想要用sa登陆数据库,那我就把sa禁用掉好了,反正网站也没有用sa作为登陆用户的。这样又折腾了一下,发现sql server 的log日志文件还是在不停的被写入,每秒都会增加几k,打开查看,由原来的登陆失败改为评估失败了,sa用户没有权限登陆。肿么办,如果按照这个增长速度,磁盘空间早晚会被日志文件挤满。在我把所有的网站都停掉了一遍之后,log日志文件还是不停的增长,不停的往里面写入错误日志,sa登陆失败。分析得出,不是网站的漏洞所致!
既然被动防御不行,那我只有学学如何攻击了。内事不决问百度,外事不决问谷歌 。经过一番查阅,了解到sql server攻击都是通过扫描1433端口是否开放,若开放就是用字典暴力破解,而且linux还有个工具,几行命令就可以开始碰撞破解了,到此,感觉一切都是那么清晰!
既然是1433端口的问题,那我们就把他禁掉,改个别的,不就万事大吉了。改完之后确实免除了服务器的攻击,但是新的问题发生了,有两个asp网站打不开了,静态页能打开,asp的页面就不行,不过这都是小问题了,我们服务器几千万美元总算保住了,哈哈 。
其实我知道,现实中的黑客远比我今天遇到的厉害的多,我是个菜鸟,估计他也是!把我的经历分享给大家,欢迎大家加入qq群:278201498学习交流。
如果你觉得还行,就推荐一下吧!