Los registros de la base de datos tienen múltiples “Inicio de sesión fallido para el usuario” desde diferentes direcciones IP

Navega tus respuestas
0

Antecedentes: tengo una base de datos de SQL Server ejecutándose en Amazon RDS

El panel de control de AWS tiene una sección para registros y cada vez que reviso los registros, veo lo siguiente: 

2018-04-27 06:10:26.00 Logon Error: 18456, Severity: 14, State: 5.
2018-04-27 06:10:26.00 Logon Login failed for user 'bwsa'. Reason: Could not find a login matching the name provided. [CLIENT: 186.52.95.67]
2018-04-27 06:10:28.17 Logon Error: 18456, Severity: 14, State: 5.
2018-04-27 06:10:28.17 Logon Login failed for user 'ps'. Reason: Could not find a login matching the name provided. [CLIENT: 186.52.95.67]
2018-04-27 06:10:30.42 Logon Error: 18456, Severity: 14, State: 5.
2018-04-27 06:10:30.42 Logon Login failed for user 'uep'. Reason: Could not find a login matching the name provided. [CLIENT: 186.52.95.67]
2018-04-27 06:10:32.73 Logon Error: 18456, Severity: 14, State: 5.
2018-04-27 06:10:32.73 Logon Login failed for user 'sa'. Reason: Could not find a login matching the name provided. [CLIENT: 186.52.95.67]

En primer lugar, no tengo ninguno de los usuarios anteriores.

En segundo lugar, traté de verificar dónde se encontraban esas IP usando: enlace , la mayoría de ellas son de Vietnam o China, las Los anteriores son de uruguay. ( Y sí, soy consciente de que las IP pueden ser falsificadas )

En tercer lugar, la URL de la base de datos nunca estuvo disponible públicamente.

Pregunta: ¿Mi servidor DB está siendo atacado por algún robot o proceso automatizado? Deberia estar preocupado . Qué acción debo tomar.

    
pregunta Nigel Fds 27.04.2018 - 08:31
fuente

1 respuesta

0

En primer lugar, las direcciones IP pueden ser falsificadas, pero no pueden hacerlo para las conexiones basadas en TCP que realmente inician sesión. O solo pueden con un costo increíblemente alto.

En segundo lugar, ¿hay alguna razón por la que su acceso a la base de datos no esté restringido en un nivel inferior a través de un filtro de paquetes, por ejemplo? Por lo general, solo otorgaría capacidades de conexión a rangos de IP que tengan motivos para conectarse a la base de datos en primer lugar (instancias de aplicaciones web, por ejemplo).

En tercer lugar, esto parece una herramienta de escaneo que intenta, tal vez, intentar hacer una huella digital en la base de datos. El enorme delta de dos segundos entre los intentos puede ser que los dbms se recuperen y tengan un ataque de tiempo que revele la información de la versión, o simplemente para no activar un IDS. Sin embargo, cada IDS que conozco debería / debería recoger eso de todos modos.

En definitiva: debe restringir el acceso en la Capa 3 o 4 y tener ese riesgo potencial de que los robots forzados que intentan iniciar sesión desaparezcan.

    
respondido por el Tobi Nary 27.04.2018 - 08:39
fuente

Lea otras preguntas en las etiquetas

Abrió el archivo .dmg, pero no hizo clic en la aplicación que estaba dentro. ¿Estoy a salvo? Información: la ruta del empleado se está haciendo eco desde una IP extranjera