Jump to content
Sign in to follow this  
Der Newbie

Warum versuchen andere mit meinem SQL Server verbindung aufzunehmen?

Recommended Posts

Mal ne Frage, die mich im Zuge der Sicherheit bewegt.

 

Warum meldet meine Firewall regelmässig Verbindungsversuche aus dem Internet auf meinen SQL Server? Woher kennen die den? Oder ist das auch nur so etwas wie ein "Portscan"?

 

Und es ist nur eine MSDE2000 engine, die von einem Datenbankprogramm installiert wurde.

 

Übrigens ist der Wurm immer noch sehr aktiv, ich habe alle 2 Minuten Angriffsversuche auf Port 135, 137 445 usw...

Share this post


Link to post

Tja, du hast die Antwort auf deine Frage selber beantwortet. Es handelt sich um den Slammer-Wurm (war vor ca. 6 Monaten aktuell), der Schwachstellen im SQL-Server ausnutzt, um sich zu verbreiten. Sei froh, dass du deine Firewall richtig konfiguriert hast. Patch bei der Gelegenheit aber mal alle Server mit den neuesten Updates. (Nur eine Empfehlung von mir, falls die Firewall doch mal was durchläßt).

 

Grüße

Olaf

Share this post


Link to post

hm..da frage ich mich, welche patches nehm ich denne?

 

hab gerade mal den 73 MB für desktopengine downgeloadet.

 

wie kann ich eigentlich feststellen, ob nicht schon der SP3 SQL von haus aus drin steckt?

 

 

weil dieses sql zeugs ist mir noch sehr unheimlich, weil da soviel im verborgenen läuft.

 

Diese Meldung kommt übrigens auch für:

 

Taskplaner Engine erwünscht eingehende Verbinung...

TCP 1075

 

gibt da auch noch einen taskplanerwurm?

post-7137-13567388916798_thumb.png

Share this post


Link to post

zhmm,

 

also SQL SP3 ist installiert, trotzdem kommen weiterhin diese Anfragen.

 

Soll ich das wie einen Portscan akzeptieren oder kann ich da etwas in der firewall einstellen? (jetzt steht drin:

 

-Frage nach ob ablehenen, annehmen...

 

Gruss newbie

Share this post


Link to post

Hallo,

 

schön, dass du dich um den Server und die SPs gekümmert hast. Nun fehlen noch die Sicherheitspatches nach dem SP3 (wenn vorhanden).

 

Nun, wenn niemand über diesen fraglichen Port Verbindung aufnehmen soll, dann sperr ihn in der FW. Wenn über diesen Port jedoch Verbindungen hergestellt werden sollen, dann musst du ihn freigeben. Da ist nun ein wenig Wissen über TCP/IP-Ports und die angebotenen Dienste für euer Intra-, Extra- und Internet gefragt. Welche das sind, kann ich dir auch nicht sagen, das solltest du selber wissen.

 

Tip: falls sich bisher niemand beschwert hat, dass die Ports gesperrt sind, so lass sie gesperrt. Besser ist die Philosophie, dass Benutzer fragen, weshalb sie nicht mehr dies oder jenes tun können, als dass ein Unbekannter (Hacker) auf euren Server draufkommt und du dies nicht merkst. (wird Philosophie nach der neuen Rechtschreibung immer noch so geschrieben ???)

 

Grüße

Olaf

Share this post


Link to post

Danke Olaf,

 

gibt es denn ähnlich wie bei den Diensten eine MUSS offen sein Portliste?

 

Ich habe soviele Ports offen, die by default wohl offen sind und ich kenne mich mit ports garnicht so aus.

 

anbei mal die offene tcp und udp ports, wenn dir da bei irgendeinem port sofort die Adern schwellen weil ich dau die offen habe, dann sag doch bitte mal bescheid.

 

Gruss newbie

post-7137-13567388918398_thumb.png

Share this post


Link to post

Hi,

 

ich hoffe, das ist jetzt die Portliste für das interne Firmennetz, oder? Alles andere wäre sehr komisch. Solange du keine bösen Mitarbeiter fürchtest, die dir den Server mutwillig zerschießen, sollte dies egal sein. Nach Außen hin sollten nur die Ports für die jeweiligen Dienste offen sein, die im Internet angeboten werden (http=80, domain name=53 usw.).

 

Schau mal in \windows\system32\drivers\etc\services. Da steht auch einiges drin.

 

Sonst frag nochmal nach (habe gerade nicht so dick Zeit).

Olaf

Share this post


Link to post

443

80

21

25

53

 

mehr würde ich von aussen nicht zulassen :suspect:

wenn, du dann noch welche von aussen offen brauchst (web services, tauschbörsen :rolleyes: etc.) merkst du es schnell ;)

 

und nutze die sp3-feature zum setzen des benutzers - du solltes den datenbank account 'sa' nicht mehr verwenden!

Share this post


Link to post
Original geschrieben von edv-olaf

Hi,

 

ich hoffe, das ist jetzt die Portliste für das interne Firmennetz, oder? Alles andere wäre sehr komisch. Solange du keine bösen Mitarbeiter fürchtest, die dir den Server mutwillig zerschießen, sollte dies egal sein. Nach Außen hin sollten nur die Ports für die jeweiligen Dienste offen sein, die im Internet angeboten werden (http=80, domain name=53 usw.).

 

Schau mal in \windows\system32\drivers\etc\services. Da steht auch einiges drin.

 

Sonst frag nochmal nach (habe gerade nicht so dick Zeit).

Olaf

 

Sorry, hab im Profil nciht gesehen, das du hier geantwortet hast.

 

tja, wenn ich das wüsste. Habe an den Ports nix gemacht und ich wundere mich ja auch, warum die alle offen sind.

 

gibt es denn unter windows server ne möglichkeit die ports zu öffnen, schliessen...etc...

 

das einzige was ich mit agnitum firewall machen kann ist die ports zu sperren per regel...

 

ich kenne keine möglichkeit unter wk2 ports zu öffnen bzw. zu schliessen...

 

weist du wie das geht?

 

gruss newbie..

Share this post


Link to post
Original geschrieben von real_tarantoga

443

80

21

25

53

 

mehr würde ich von aussen nicht zulassen :suspect:

wenn, du dann noch welche von aussen offen brauchst (web services, tauschbörsen :rolleyes: etc.) merkst du es schnell ;)

 

und nutze die sp3-feature zum setzen des benutzers - du solltes den datenbank account 'sa' nicht mehr verwenden!

 

danke, wie kann ich denn die anderen ports sperren? meine firewall agnitum kann nur per regel den port sperren, geht es nicht das ich diese ports garnichterst öffne ??

 

lustig ist halt, das ich manchmal sehe wie sich ne menge ports in der firewall öffnen, weil da wohl anfragen aus dem netz kommen und die firewall dann per assistent fragt ob erlaubt oder nicht...

 

danke für den SA tip...ist ja logisch...ist wohl der erste angriffsversuch mit diesem usernamen...

 

newbie

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...