Sql провал проверяет каждую секунду

Question

Я смотрю на мою программу просмотра событий на своем компьютере и вижу, что каждое отдельное событие в программе просмотра событий Applicaiton представляет собой Failure Audit для SQL Server. Свойства события все говорят

Ошибка входа пользователя 'sa'. Причина: Пароль не соответствует этому для логин предоставляется. [КЛИЕНТ: 78.111.98.132]

Значит ли это, что кто-то пытается взломать мой пароль? Есть ли способ остановить это? Также, кажется, нет никаких других событий, кроме этого, есть ли причина для этого?

Это версия Windows Server 2003 R2 Enterprise, с пакетом обновления 2 под управлением SQL Server Standard 2008

Answer 1

IP-адрес, который вы указали турецкому интернет-провайдеру в Стамбуле, и я подозреваю, что это не то место, где вы ожидаете попыток входа, конечно же, не SA.

Если вам это абсолютно не нужно, отключите учетную запись SA, заблокируйте диапазон IP-адресов, а затем получите дополнительную информацию об усилении защиты сервера.

Answer 2

Любой SQL Server, подключенный к Интернету, будет получать сотни таких событий в час. много ботов постоянно сканируют слабые пароли sa на порте сервера SQL по умолчанию. Перемещение прослушивающего порта SQL Server добавит очень незначительное значение, столько же сканирований будет искать любой открытый порт. В то время как вы можете занести в черный список подозрительные IP-адреса, злоумышленники обычно используют стада и стада IP-адресов, так что битва проиграна.

Реальным решением является полное удаление вашего SQL-сервера из Интернета. У вас есть какая-то конкретная причина, почему его слушают в сети? Вам не нужно менять физическое местоположение, просто настройте конечные точки SQL Server для прослушивания только локальных адресов и адресов интрасети.