none
intentos masivos de logiarse con el usuario sa. RRS feed

  • Pregunta

  • Buenas tardes

    Observando en el log de error de sql server encuentro este mensaje con el usuario sa y en otros casos con usuarios que desconozco

    12/28/2016 10:33:24,Logon,Desconocido,Login failed for user 'sa'. Motivo: la contraseña no es válida para el inicio de sesión proporcionado. [CLIENTE: 192.168.1.1]
    12/28/2016 10:33:24,Logon,Desconocido,Error: 18456<c/> gravedad: 14<c/> estado: 8.

    Esta atacado el servidor ?.. Que me recomienda hacer para este caso

    Gracias

    Rodrigo

    Bogota-colombia

    

    jueves, 29 de diciembre de 2016 23:30

Respuestas

  • Estas bajo un tipico escenario de ataque o intento de hacking tu Servidor, desactiva el usuario sa, de hecho es considerado una mala practica el tenerlo activo, debido a que es un usuario conocido y quien quiera hackear tu server solo se concentrara en el password. Esta no es mi especialidad, es posible que otros colegas te brinden otros consejos.

    "Oh, the wind, the wind is blowing,through the graves the wind is blowing,Freedom soon will come; then well come from the shadows".The Partisan(Leonard Cohen) Email: me[at]geohernandez.net Blog:www.geohernandez.net

    • Propuesto como respuesta Enrique AA sábado, 31 de diciembre de 2016 5:50
    • Marcado como respuesta Joyce_ACModerator jueves, 5 de enero de 2017 16:56
    viernes, 30 de diciembre de 2016 8:28
  • Además de eso, observa que el mensaje dice "192.168.1.1". Fíjate a ver cuál es ese cliente. Si esa resulta ser la dirección interna de tu router, entonces es un ataque proveniente del exterior. Esto indicaría que tienes abierto el NAT inverso en el router para permitir que alcance al puerto de SQL Server en tu servidor interno. No es buena idea dejarlo abierto, a no ser que realmente necesites conexiones entrantes desde la internet al servidor SQL. Es preferible evitarlas, o usar una VPN. Pero si no tienes más remedio que dejarlas abiertas, por lo menos usa un puerto no estándar (en lugar del 1433) en la interfaz pública (para que los buscadores de puertos no encuentren fácilmente tu SQL Server), limita las IPs que pueden acceder si es que conoces las IPs de los clientes, y no uses cuentas con nombres evidentes o conocidos (como el "sa").
    • Propuesto como respuesta Enrique AA sábado, 31 de diciembre de 2016 5:50
    • Marcado como respuesta Joyce_ACModerator jueves, 5 de enero de 2017 16:56
    viernes, 30 de diciembre de 2016 9:02

Todas las respuestas

  • Estas bajo un tipico escenario de ataque o intento de hacking tu Servidor, desactiva el usuario sa, de hecho es considerado una mala practica el tenerlo activo, debido a que es un usuario conocido y quien quiera hackear tu server solo se concentrara en el password. Esta no es mi especialidad, es posible que otros colegas te brinden otros consejos.

    "Oh, the wind, the wind is blowing,through the graves the wind is blowing,Freedom soon will come; then well come from the shadows".The Partisan(Leonard Cohen) Email: me[at]geohernandez.net Blog:www.geohernandez.net

    • Propuesto como respuesta Enrique AA sábado, 31 de diciembre de 2016 5:50
    • Marcado como respuesta Joyce_ACModerator jueves, 5 de enero de 2017 16:56
    viernes, 30 de diciembre de 2016 8:28
  • Además de eso, observa que el mensaje dice "192.168.1.1". Fíjate a ver cuál es ese cliente. Si esa resulta ser la dirección interna de tu router, entonces es un ataque proveniente del exterior. Esto indicaría que tienes abierto el NAT inverso en el router para permitir que alcance al puerto de SQL Server en tu servidor interno. No es buena idea dejarlo abierto, a no ser que realmente necesites conexiones entrantes desde la internet al servidor SQL. Es preferible evitarlas, o usar una VPN. Pero si no tienes más remedio que dejarlas abiertas, por lo menos usa un puerto no estándar (en lugar del 1433) en la interfaz pública (para que los buscadores de puertos no encuentren fácilmente tu SQL Server), limita las IPs que pueden acceder si es que conoces las IPs de los clientes, y no uses cuentas con nombres evidentes o conocidos (como el "sa").
    • Propuesto como respuesta Enrique AA sábado, 31 de diciembre de 2016 5:50
    • Marcado como respuesta Joyce_ACModerator jueves, 5 de enero de 2017 16:56
    viernes, 30 de diciembre de 2016 9:02