Azure:記錄了許多失敗的登錄嘗試
我在 Azure 虛擬機上執行 SQL Server。我在伺服器的事件日誌中註意到許多失敗的 SQL 登錄嘗試使用大量不同的使用者名(都不存在):
使用者“kisadminnew1”登錄失敗。原因:找不到與提供的名稱匹配的登錄名。
$$ CLIENT: 124.117.233.94 $$ 使用者 ‘djapple’ 登錄失敗。原因:找不到與提供的名稱匹配的登錄名。
$$ CLIENT: 124.117.233.94 $$ 使用者“中國”登錄失敗。原因:找不到與提供的名稱匹配的登錄名。
$$ CLIENT: 124.117.233.94 $$ 使用者“vice”登錄失敗。原因:找不到與提供的名稱匹配的登錄名。
$$ CLIENT: 124.117.233.94 $$
一夜之間可能有幾百次隨機嘗試。
我應該擔心這個嗎?看起來有人試圖通過蠻力訪問我的 SQL Server,這很常見嗎?
SQL Server 正在偵聽的 TCP 埠是否全域打開?
如果是這樣,是的,我會擔心。如果存在可以暴力破解或猜測的密碼,或者允許某人繞過身份驗證的漏洞,最終您的數據庫可能會受到損害。您還容易受到不需要訪問的攻擊,例如有人通過每秒創建許多失敗的登錄來填充具有 SQL Server 錯誤日誌的驅動器。
如果 TCP 埠對 Internet 開放,則不需要的登錄嘗試是正常的。根據我在 ISP 和託管公司工作的經驗,如果流量沒有被防火牆丟棄,那麼暴露在網際網路上的機器將全天在知名埠上進行探測(並定期掃描埠)。
另一方面,如果您有明確允許 124.117.233.94 通過的限制性防火牆規則,則該地址的一位客戶或同事很可能已經感染了電腦。
您目前可以在此處閱讀有關控制 Azure 虛擬機流量的資訊。一個好的做法是預設刪除所有內容,並明確地只允許您想要的流量。也許其他人會編輯它以添加更多資訊。