I registri di database hanno più "Login di accesso non riuscito per l'utente" da diversi IP

Question

I registri di database hanno più "Login di accesso non riuscito per l'utente" da diversi IP

#1 da (0 voti)

0

Sfondo: ho un database SQL Server in esecuzione su Amazon RDS

La dashboard di AWS ha una sezione per i log e ogni volta che controllo i log vedo quanto segue:

2018-04-27 06:10:26.00 Logon Error: 18456, Severity: 14, State: 5.
2018-04-27 06:10:26.00 Logon Login failed for user 'bwsa'. Reason: Could not find a login matching the name provided. [CLIENT: 186.52.95.67]
2018-04-27 06:10:28.17 Logon Error: 18456, Severity: 14, State: 5.
2018-04-27 06:10:28.17 Logon Login failed for user 'ps'. Reason: Could not find a login matching the name provided. [CLIENT: 186.52.95.67]
2018-04-27 06:10:30.42 Logon Error: 18456, Severity: 14, State: 5.
2018-04-27 06:10:30.42 Logon Login failed for user 'uep'. Reason: Could not find a login matching the name provided. [CLIENT: 186.52.95.67]
2018-04-27 06:10:32.73 Logon Error: 18456, Severity: 14, State: 5.
2018-04-27 06:10:32.73 Logon Login failed for user 'sa'. Reason: Could not find a login matching the name provided. [CLIENT: 186.52.95.67]

Prima di tutto non ho nessuno degli utenti sopra.

In secondo luogo ho cercato di verificare dove si trovavano quegli IP utilizzando: link , la maggior parte di essi proviene dal Vietnam o dalla Cina, quelli sopra sono dall'Uruguay. ( E sì, sono consapevole che gli IP possono essere falsificati )

Terzo l'URL del database non è mai stato pubblicamente disponibile.

Domanda: il mio server DB viene attaccato da un bot o da un processo automatizzato? Dovrei essere preoccupato . Che azione dovrei prendere.

authentication sql-server aws brute-force databases

posta Nigel Fds 27.04.2018 - 08:31

fonte

1 risposta

Leggi altre domande sui tag authentication sql-server aws brute-force databases

Il SOCKS è sicuro? Info: la rotta del dipendente viene echeggiata da un IP esterno

score 0 · Accepted Answer

In primo luogo, gli IP possono essere falsificati, ma per le connessioni basate su TCP che effettivamente effettuano l'accesso, non possono. Oppure possono solo con costi incredibilmente elevati.

In secondo luogo, esiste un motivo per cui l'accesso al database non è limitato a un livello inferiore tramite un filtro di pacchetti, ad esempio? Solitamente, si concedono le capacità di connessione solo agli intervalli IP che hanno motivo di connettersi al database in primo luogo (ad esempio, le istanze di applicazioni Web).

In terzo luogo, sembra uno strumento di scansione che tenta di provare a impronte digitali nel database. L'enorme delta di due secondi tra i tentativi potrebbe essere quello di recuperare i dbms e avere un attacco di temporizzazione che rivela le informazioni sulla versione - o semplicemente per non attivare un IDS. Tuttavia, ogni IDS che conosco dovrebbe / dovrebbe riprenderlo comunque

Quindi, tutto sommato: dovresti limitare l'accesso ai livelli 3 o 4 e avere il potenziale rischio di forzare i robot che cercano di effettuare il login.