Jump to content

Bruteforce Attacke auf SQL - Server

Ishildur

Von Ishildur
in Windows Forum — LAN & WAN

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Ishildur Community Regular

Ishildur   10

Geschrieben
Geschrieben

Hallo Leute, als ich heute morgen ins Büro kam und die Logdateien meines Windows 2003 Server durchsah, bin ich ziemlich erschrocken. Da hatte ich doch glatt 35'003 mal "Login Failed for User usw."

 

Der hatts über 16 Stunden versucht und ich weiss nicht, wann die nächste Attacke startet. Mein Chef vermutet einen seiner Konkurrenten hinter dem Angriff.

 

Ich möchte nun ein IP-Blocking machen: Wenn bspw. ein Benutzer 10mal hintereinander ungültige Benutzerinformationen geliefert hat, soll seine IP gesperrt werden, bis ich sie am Server explizit wieder freischalte, doch wie geht das mit SQL Server 2005?

 

Es wäre natürlich cool zu wissen, wer dahintersteckt. Den ISP habe ich heute vormittag angerufen, doch die schalten auf Stuur... Datenschutz und so... :suspect:

 

Gibst da noch andere möglichkeiten?

 

Ausserdem möchte ich, dass ich ein SMS bekomme, sobald die nächste Attacke wieder losgeht! Kann ich irgendwie mit Shell erreichen, dass ein bestimmtes Script ausgeführt wird, sobald ein ungültiger Login Versuch stattgefunden hat?

 

Ich hoffe ihr könnt mir schnell helfen!

Gruss Ishildur

Link zu diesem Kommentar
Velius Grand Master

Velius   10

Geschrieben
Geschrieben
....atürlich schon vor Monaten gemacht! Nein der SQL - Server muss vom I-Net erreichbar sein, da es Leute gibt, die von aussen darauf zugreifen müssen.)

 

Trotzdem ein völlig falscher Ansatz, wenn ich das so mal zusätzlich betonen darf. Entweder du schränkst die Quellen ein, sollte es ein einziger oder einige Server sein, oder wenn es mobile User sind solltest du auf VPN zurückgreiffen. Aber alles andere ist unfug.... :wink2:

Link zu diesem Kommentar
Velius Grand Master

Velius   10

Geschrieben
Geschrieben
Anm: Ich kenne auch niemanden, der seinen SQL direkt ins Internet hängt :rolleyes:

 

 

grizzly999

 

 

Ich schon, das waren aber zwei unterschiedliche Firmen, und ich denke das da nur die beiden externen IP's der SQL miteinander quaseln konnten, und nicht die ganze Welt. ;)

 

Leider hindert das aber auch niemanden den an sich unverschlüsselten SQL Verkehr mitzusniffen... :eek: :wink2:

Link zu diesem Kommentar
Ishildur Community Regular

Ishildur   10

Geschrieben
  • Autor
Geschrieben

Also ich kann euch nicht verstehen! Wir sind ein Dienstleistungsunternehmen und ich bin dabei eine Software zu schreiben, welche auf allen Laptops unserer Techniker installiert wird! Die Daten werden auf unserem SQL - Server gespeichert! Ob ich nun den SQL - Server direkt ins Netz stelle oder ein VPN, wo iist da der Unterschied? Wenn ich denn SQL - Server ins Netz stelle, werden Leute versuchen, einen SQL - Server Account zu knacken, wenn ich einen RAS - Server direkt ins Netz stelle, werden dieselben Leute halt versuchen, einen RAS - Account zu knacken! Wo ist da der Unterschied. Ich finde ein VPN gefährlicher als ein SQL - Server. Ausserdem kann ich den SQL - Verkehr doch in SQL - Server 2005 auch verschlüsseln.

Link zu diesem Kommentar
nerd Grand Master

nerd   28

Geschrieben
Geschrieben

Hi,

 

also volle Zustimmung zu den Anmerkungen meiner Vorposter! Datenbankserver direkt erreichbar im Netz ist ein NoNo und zieht Scriptkidies nur so an!

 

Das mit den SMSen kannst du meines Wissens nur mit einer Monitoring Lösung erreichen deren Einsatz generell in jedem Netzwerk zu empfehlen ist. Microsoft bietet hier den MOM an der auch schon voreingestellte Regelwerke bietet. Nagios ist hierbei einer OpenSource Vertreter verlangt aber nach sehr viel Einsarbeitungszeit und setzt gutes Linux KnowHow voraus. Über diese Monitoringlösungen kannst du dann mit hilfe von Scripten auch das schließen von Ports veranlassen wobei dass voraussetzt, dass ein Script die Rechte dazu hat was ich an sich schon wieder problematisch finden würde...

 

Gruß

Link zu diesem Kommentar
nerd Grand Master

nerd   28

Geschrieben
Geschrieben
Also ich kann euch nicht verstehen! Wir sind ein Dienstleistungsunternehmen und ich bin dabei eine Software zu schreiben, welche auf allen Laptops unserer Techniker installiert wird! Die Daten werden auf unserem SQL - Server gespeichert! Ob ich nun den SQL - Server direkt ins Netz stelle oder ein VPN, wo iist da der Unterschied? Wenn ich denn SQL - Server ins Netz stelle, werden Leute versuchen, einen SQL - Server Account zu knacken, wenn ich einen RAS - Server direkt ins Netz stelle, werden dieselben Leute halt versuchen, einen RAS - Account zu knacken! Wo ist da der Unterschied. Ich finde ein VPN gefährlicher als ein SQL - Server. Ausserdem kann ich den SQL - Verkehr doch in SQL - Server 2005 auch verschlüsseln.

 

Öhm schon mal den Zugang zu nem IPSEC gesicherten VPN Server geknackt? Also ich nicht. Bei nem SQL Server sehe ich da weniger Probleme zusaml RAS Server dafür ausgelegt sind "direkt" im Netz zu stehen und SQL Server nicht! (wobei selbst RAS - Server hinter eine Firewall gehören - um nur den notwendigen Verkehr zu erlauben).

 

Gruß

Link zu diesem Kommentar
Velius Grand Master

Velius   10

Geschrieben
Geschrieben

@Ishildur

 

Ein VPN Gateway, Firewall, oder aber auch ein MS RRAS Server stehen auch nicht mit vollen 65'000 Ports im Internet, und meistens sind solche Dinger eh noch gehärtet. Und ohne Computer/VPN Client Zertifikat kannst du nichtmal eine brut force attacke auf den User Store des Gateways/Firewalls - oder sonst was - machen.

 

 

P.S.: @Johannes

Deckt sich verdächtig mit dem was du sagst :D :D

Link zu diesem Kommentar
Ishildur Community Regular

Ishildur   10

Geschrieben
  • Autor
Geschrieben

@grizzly999

Wie ich schon sagte: Ich bin Programmierer und nicht Administrator. Der SQL - Server läuft momentan als Entwicklungsserver und nicht als Produktionsserver. Ich gebe zu, dass ich keine Experte in Computersicherheit bin, aber das Thema interessiert mich dennoch und ich versuche jeden Tag, etwas weiter über meinen beruflichen Horizont zu sehen.

 

In welcher Art Dienstleistung arbeitest du? Aber nicht in der IT (bitte bitte nicht)

 

Du urteilst ja ziemlich schnell! Wenn du mich kennen würdest, währe ich beleidigt... ;)

 

Also, wenn jemand tatsächlich einen SQL - Server Account knackt, dann hat er Zugriff auf eine Datenbank voller Testdaten...

Wenn jemand einen VPN - Account knackt, dann har er Zugriff auf alle internen Dateiserver - Freigaben, auf die Buchhaltung usw... UND auf den SQL - Server! Was ist wohl gefährlicher?

 

Und wieso sollte ich ein VPN nicht Brutforce können? Nur weils dafür vielleicht keine vorgefertigen Tools gibt, heisst das noch lange nicht, dass es nicht möglich ist! Oder wieviel wärst du bereit zu bezahlen, wenn ich dir ein entsprechendes Tool schreiben würde? Darin bin ich nämlich gut!

 

P.S.

Wenn ihr in den Entwicklerforen etwas fragen würdet, dann würde ich euch willkommen

heissen und euch mit Respekt begegnen und versuchen, euch zu helfen, anstatt euch zu verhöhnen...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...