11
SQL Datenbank wird von außen angegriffen
Hallo,
ich habe im Internet einen Windows 2008 Server. Darauf läuft eine SQL Datenbank, die von mehreren Usern im Büro abgerufen wird.
Nun ist mir in den logs aufgefallen das eine IP aus China seit 2 Wochen probiert die Datenbank zu hacken. Es werden pro Sekunde Anmeldedaten an die SQL Datenbank geschickt wird. Es kommt dann eine Fehlermeldung das der Benutzer und Passwort nicht stimmt.
Hat jemand eine Idee wie ich das verhindern kann, das diese fremde IP versucht sich an der Datenbank anzumelden?
Die IP wechselt auch alle 24 Stunden, so wie hier auch die öffentlichen IPs von unseren Providern.
ich habe im Internet einen Windows 2008 Server. Darauf läuft eine SQL Datenbank, die von mehreren Usern im Büro abgerufen wird.
Nun ist mir in den logs aufgefallen das eine IP aus China seit 2 Wochen probiert die Datenbank zu hacken. Es werden pro Sekunde Anmeldedaten an die SQL Datenbank geschickt wird. Es kommt dann eine Fehlermeldung das der Benutzer und Passwort nicht stimmt.
Hat jemand eine Idee wie ich das verhindern kann, das diese fremde IP versucht sich an der Datenbank anzumelden?
Die IP wechselt auch alle 24 Stunden, so wie hier auch die öffentlichen IPs von unseren Providern.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 201695
Url: https://administrator.de/contentid/201695
Printed on: April 24, 2024 at 05:04 o'clock
11 Comments
Latest comment
Warum steht der SQL-Server direkt im Internet? Dafür gibt es VPN...
Gruß
sk
Gruß
sk
Moin,
verhindern kannst du es natürlich nicht. Sicherheit kannst du evtl. erhöhen durch die länge des Passwortes, Sonderzeichenpflicht o.ä..
Aber im Endeffekt gebe ich sk recht - was sucht/macht er da??
greetz
ravers
verhindern kannst du es natürlich nicht. Sicherheit kannst du evtl. erhöhen durch die länge des Passwortes, Sonderzeichenpflicht o.ä..
Aber im Endeffekt gebe ich sk recht - was sucht/macht er da??
greetz
ravers
Das hab ich mich auch sofort gefragt. Kann es sein dass der Server bei einem Hoster steht ?
LG
Hallo,
Ihr habt natürlich recht, besser wäre wenn die Datenbank direkt auf den Server im Büro stehen würde, aber leider geht das momentan nicht.
Der Server im Internet stellt die Datenbank bereit da dort die Bandbreite höher ist. Im Büro ist momentan nur eine langsame DSL Leitung verfügbar. Das dauert auch noch ca 6 Monate, dann wird die datenbank umgezogen und ist dann von außerhalb nicht mehr erreichbar. Nur per VPN.
Das Passwort ist schon sehr sicher blöd ist nur das ich innerhalb von einen Tag tausende Anmeldeversuche an der Datenbank habe und deshalb die Datenbank sich öfters aufhängt. Deshalb ist es auch aufgefallen. Wir haben den Fehler gesucht der die datenbank beeinträchtigt.
Ihr habt natürlich recht, besser wäre wenn die Datenbank direkt auf den Server im Büro stehen würde, aber leider geht das momentan nicht.
Der Server im Internet stellt die Datenbank bereit da dort die Bandbreite höher ist. Im Büro ist momentan nur eine langsame DSL Leitung verfügbar. Das dauert auch noch ca 6 Monate, dann wird die datenbank umgezogen und ist dann von außerhalb nicht mehr erreichbar. Nur per VPN.
Das Passwort ist schon sehr sicher blöd ist nur das ich innerhalb von einen Tag tausende Anmeldeversuche an der Datenbank habe und deshalb die Datenbank sich öfters aufhängt. Deshalb ist es auch aufgefallen. Wir haben den Fehler gesucht der die datenbank beeinträchtigt.
Hi
dann sperr auf der Windowsfirewall den Port des MSSQL Servers (ich glaube 1433/TCP) für alle außer der IP deiner Firma (sofern du eine statische IP hast)
LG
dann sperr auf der Windowsfirewall den Port des MSSQL Servers (ich glaube 1433/TCP) für alle außer der IP deiner Firma (sofern du eine statische IP hast)
LG
Hallo Catachan,
Das ist ja schonmal ein guter Ansatz, leider ist es wie du sagst nicht möglich da wir einen Provider haben der die IP Adresse von unserer DSL Leitung ändert.
Das ist ja schonmal ein guter Ansatz, leider ist es wie du sagst nicht möglich da wir einen Provider haben der die IP Adresse von unserer DSL Leitung ändert.
Hi
dann bleibt nur noch VPN über, oder damit leben.
LG
dann bleibt nur noch VPN über, oder damit leben.
LG
Moin
Nun dann Sperre doch einfach den IP Bereich von China.
Da der Zugriff sicherlich Eingeschränkt ist wer Zugriff auf die DB hat könntes du auch mit ner Whitelist arbeiten...
Nun dann Sperre doch einfach den IP Bereich von China.
Da der Zugriff sicherlich Eingeschränkt ist wer Zugriff auf die DB hat könntes du auch mit ner Whitelist arbeiten...
Hallo liptonice,
Im Jahre 2001 des Herren habe ich auch einmal so einen Gedanken laut geäußert und genau zwei Minuten
später habe ich diesen dann auch verworfen! Und da war das mit dem SQL Injection noch nicht so mainstream!!!!!!
Und noch toller, etwa so etwas wie "wir wollen demnächst ein Patent anmelden" na da brauchen wir wenigstens nicht mehr raten was die Chinesen denn dort suchen!
Da dort die staatlich geförderte Industriespionage Hochkonjunktur hat und leider auch nicht abzustellen ist
würde ich eben wieder sagen "Selber schuld". Wenn das nicht die Chinesen aus Hamburg sind, die sich auch gerade
um das selbe Projekt wie Eure Firma, via Ausschreibung bewirbt!
an damit Du denkst das noch alles sicher ist oder wäre und die räumen Dir die Kiste leer und fangen seit zwei Wochen alles an Arbeit ab was Ihr dort eintragt! Am besten gleich noch mit Eurer Datenbank für alle Teile und Bestellungen das man auch ja zu den gleichen Konditionen bestellen kann, super.
gut käme.
sich da jemand dran anmelden möchte bzw. zu schaffen macht, klasse.
@kaiand1
dann eben nicht mehr so lustig!!!!!
Ich mache mal eben eine s.g. Milchmädchenrechnung auf:
- 120.000 € zahle ich für eine Sonderanfertigung von H & B Garry
- Der Hacker aus China bekommt keinen Stundenlohn, das sind Kommunisten und machen alles für die großen Bruder
Mao der im Himmel auf sie wartet und das kostet eben nicht viel!!!!!
- Also alles zusammen mit Strom und pi pa po, kostet das ganze so um die 200.000 €
- Aber das was sie damit gewinnen können ist evtl. Millionen wert, in China!
Also mit einer Whitelist wirst Du die wohl nicht mehr los. Denn wenn dadurch ca. 1000 "chinesiche" Firmen ihr "Know How" erweitern und das am besten noch in der industriellen Fertigung,.......
Oder die Chinesen aus Unterfranken so 10 KM entfernt sind es die nicht locker lassen!
Das klingt immer etwas krasser als es wirklich ist oder man kann das wahre Ausmaß gar nicht abschätzen aber das weiß auch eben nur liptonice und nicht wir!
- Server aus
- Backup anfertigen (aber vorsichtig) nicht gleich bei Euch aufspielen denn dann "funkt" Euer Netzwerk evtl. raus
- Server Hardware kaufen und zusammen bauen, alles in VALNs packen und die SQL Datenbank nur im LAN stehen haben
ohne Kontaktmöglichkeit nach außen hin (ACLs). Layer3 Switch sollte also vorhanden sein.
- Firewall (UTM) anschaffen und den Syslog auf eine sichere Maschine schicken und die abdichten so gut es geht.
Würde mich nicht wundern wenn demnächst eine Menge Spam mit "Anhang" kommt!
- Snort aufsetzen mit 3G Modem und Alarm über SMS und an einen Monitorport vom Switch hängen (Mirrored Port)
- WireShark Installieren und täglich prüfen Dateigröße sollte je nach Aufkommen und Eingangstärke bei 2 GB pro
Datei liegen
- Ist WLAN im Betrieb vorhanden? Dann noch schnell einen Radius Server dazu und abwarten.
- Alle PCs nach Viren scannen und mal schauen was da so drauf ist?
liptonice:
Wenn Du nun sagst ihr seit doch aber nur 5 Leute mit Rechnern!
Freue Dich doch, dann ist wenigstens alles schnell erledigt!
Aber was wollen "die" dann von Euch?
Wenn Du nun aber antwortest, wir sind ein Betrieb mit 150 Mitarbeitern, dann frage ich mich warum da nicht
etwas anständiges angeschafft wurde.
Früher hatte man eben auch noch ein paar "alte" Geräte zur Hand mit denen sich das alles schnell
hätte realisieren lassen, aber danke der schicken VM Welt und dem tollen Outsourcing ist das mitunter eben nicht mehr möglich.
Da ist eben nur der Unterschied, das wenn der Vogel Strauß sich umdreht und mit seinen Krallen eine "verteilt"
die Gedärme gleich hübsch vor den Füßen liegen! Irgend wie fehlt das hier aber.
Gruß, Glück und viel Erfolg
Dobby
ich habe im Internet einen Windows 2008 Server.
Selber schuld, hört sich gemein an, ist aber nicht so gemeint, doch so ist es nun einmal.Im Jahre 2001 des Herren habe ich auch einmal so einen Gedanken laut geäußert und genau zwei Minuten
später habe ich diesen dann auch verworfen! Und da war das mit dem SQL Injection noch nicht so mainstream!!!!!!
Darauf läuft eine SQL Datenbank,....
Am besten Du sagst und das das eine Entwicklerdatenbank ist und Eure Firma auch noch forscht oder so was!Und noch toller, etwa so etwas wie "wir wollen demnächst ein Patent anmelden" na da brauchen wir wenigstens nicht mehr raten was die Chinesen denn dort suchen!
Nun ist mir in den logs aufgefallen das eine IP aus China seit 2 Wochen probiert die Datenbank zu hacken.
Na da kommst Du aber früh an mit Deinem Problem, ist das etwa wirklich wahr das Du da zwei Wochen zuschaust?Da dort die staatlich geförderte Industriespionage Hochkonjunktur hat und leider auch nicht abzustellen ist
würde ich eben wieder sagen "Selber schuld". Wenn das nicht die Chinesen aus Hamburg sind, die sich auch gerade
um das selbe Projekt wie Eure Firma, via Ausschreibung bewirbt!
Es werden pro Sekunde Anmeldedaten an die SQL Datenbank geschickt wird. Es kommt dann eine Fehlermeldung das der Benutzer und Passwort nicht stimmt.
Das ist doch schick stell Dir vor die sind schon drinnen und melden sich absichtlich mit dem falschen Anmeldedatenan damit Du denkst das noch alles sicher ist oder wäre und die räumen Dir die Kiste leer und fangen seit zwei Wochen alles an Arbeit ab was Ihr dort eintragt! Am besten gleich noch mit Eurer Datenbank für alle Teile und Bestellungen das man auch ja zu den gleichen Konditionen bestellen kann, super.
Hat jemand eine Idee wie ich das verhindern kann, das diese fremde IP versucht sich an der Datenbank anzumelden?
Ja klar doch, nimm sie ganz schnell vom Netz und sage Deinem Chef er soll Geld holen und Du "setzt" diesen Freitag ab Morgen Mittag, den Server neu auf und alles ist hübsch. Und zwar im LAN, in Eurem LAN, hinter einer Firewall. Wobei, bei den Anstrengungen die die "chinesische" Seite aus Wolfenbüttel unternimmt wohl eine UTM auchgut käme.
Die IP wechselt auch alle 24 Stunden, so wie hier auch die öffentlichen IPs von unseren Providern.
Ne schon klar, das hat ja gut funktioniert, wenn seit 14 Tagen, also ganzen 10 Arbeitstagen die Meldung kommt dassich da jemand dran anmelden möchte bzw. zu schaffen macht, klasse.
@kaiand1
Nun dann Sperre doch einfach den IP Bereich von China.
Klar, nur wenn das die Konkurrenzfirma aus dem Nachbarort ist, die in direktem Wettbewerb mit liptonice´s Firma steht und die sich nur über den Einwahlknoten Beijing (Peking) an den Server ran machen, dann kommen die "Chinesen" morgen eben über Vietnam, Honolulu, den USA oder Chile, diese Art von Chinesen wirst Du so nicht los. Denn wenn die schon seit 14 Tagen diese Aktion "fahren" haben sie auch schon Blut geleckt und das istdann eben nicht mehr so lustig!!!!!
Da der Zugriff sicherlich Eingeschränkt ist wer Zugriff auf die DB hat könntes du auch mit ner Whitelist arbeiten...
Falls da nicht schon was ganz anderes drauf installiert worden ist!Ich mache mal eben eine s.g. Milchmädchenrechnung auf:
- 120.000 € zahle ich für eine Sonderanfertigung von H & B Garry
- Der Hacker aus China bekommt keinen Stundenlohn, das sind Kommunisten und machen alles für die großen Bruder
Mao der im Himmel auf sie wartet und das kostet eben nicht viel!!!!!
- Also alles zusammen mit Strom und pi pa po, kostet das ganze so um die 200.000 €
- Aber das was sie damit gewinnen können ist evtl. Millionen wert, in China!
Also mit einer Whitelist wirst Du die wohl nicht mehr los. Denn wenn dadurch ca. 1000 "chinesiche" Firmen ihr "Know How" erweitern und das am besten noch in der industriellen Fertigung,.......
Oder die Chinesen aus Unterfranken so 10 KM entfernt sind es die nicht locker lassen!
Das klingt immer etwas krasser als es wirklich ist oder man kann das wahre Ausmaß gar nicht abschätzen aber das weiß auch eben nur liptonice und nicht wir!
- Server aus
- Backup anfertigen (aber vorsichtig) nicht gleich bei Euch aufspielen denn dann "funkt" Euer Netzwerk evtl. raus
- Server Hardware kaufen und zusammen bauen, alles in VALNs packen und die SQL Datenbank nur im LAN stehen haben
ohne Kontaktmöglichkeit nach außen hin (ACLs). Layer3 Switch sollte also vorhanden sein.
- Firewall (UTM) anschaffen und den Syslog auf eine sichere Maschine schicken und die abdichten so gut es geht.
Würde mich nicht wundern wenn demnächst eine Menge Spam mit "Anhang" kommt!
- Snort aufsetzen mit 3G Modem und Alarm über SMS und an einen Monitorport vom Switch hängen (Mirrored Port)
- WireShark Installieren und täglich prüfen Dateigröße sollte je nach Aufkommen und Eingangstärke bei 2 GB pro
Datei liegen
- Ist WLAN im Betrieb vorhanden? Dann noch schnell einen Radius Server dazu und abwarten.
- Alle PCs nach Viren scannen und mal schauen was da so drauf ist?
liptonice:
Wenn Du nun sagst ihr seit doch aber nur 5 Leute mit Rechnern!
Freue Dich doch, dann ist wenigstens alles schnell erledigt!
Aber was wollen "die" dann von Euch?
Wenn Du nun aber antwortest, wir sind ein Betrieb mit 150 Mitarbeitern, dann frage ich mich warum da nicht
etwas anständiges angeschafft wurde.
Früher hatte man eben auch noch ein paar "alte" Geräte zur Hand mit denen sich das alles schnell
hätte realisieren lassen, aber danke der schicken VM Welt und dem tollen Outsourcing ist das mitunter eben nicht mehr möglich.
Der Server im Internet stellt die Datenbank bereit da dort die Bandbreite höher ist.
Als bei Euch im Büro?Im Büro ist momentan nur eine langsame DSL Leitung verfügbar. Das dauert auch noch ca 6 Monate, dann wird die datenbank umgezogen und ist dann von außerhalb nicht mehr erreichbar. Nur per VPN.
Mach Dir keinen Kopf mehr bis dahin haben die alles was sie wollen! Dann ist das Problem ja fast erledigt.Das Passwort ist schon sehr sicher blöd ist nur das ich innerhalb von einen Tag tausende Anmeldeversuche an der Datenbank habe und deshalb die Datenbank sich öfters aufhängt.
Oder haben die "Chinesen" aus Osnabrück den Server einfach "abgeschossen" um Code einzuschleusen und auszuführen?Deshalb ist es auch aufgefallen. Wir haben den Fehler gesucht der die datenbank beeinträchtigt.
Problem erkannt, Gefahr gebannt! Aber irgend wie sieht mir das eher nach der Vogel Strauß Methode aus!Da ist eben nur der Unterschied, das wenn der Vogel Strauß sich umdreht und mit seinen Krallen eine "verteilt"
die Gedärme gleich hübsch vor den Füßen liegen! Irgend wie fehlt das hier aber.
Gruß, Glück und viel Erfolg
Dobby
Hallo Dobby,
ich mach mir keine großen Sorgen um die Inhalte der Datenbank. Da sind nur Fotos und Produktinformationen von Elektronikkram drin. Die Datenbank dient dazu einen Onlineshop zu füttern. Also selbst wenn alle Daten geklaut werden, hätte man nicht mehr als Produktfotos uns Beschreibungen die sowieso frei verfügbar sind.
Ich versuch mal mit einer Whitelist klar zu kommen.
Noch zur Info, selbst das schlimmste szenario wäre hier an den Server kein Problem.
ich mach mir keine großen Sorgen um die Inhalte der Datenbank. Da sind nur Fotos und Produktinformationen von Elektronikkram drin. Die Datenbank dient dazu einen Onlineshop zu füttern. Also selbst wenn alle Daten geklaut werden, hätte man nicht mehr als Produktfotos uns Beschreibungen die sowieso frei verfügbar sind.
Ich versuch mal mit einer Whitelist klar zu kommen.
Noch zur Info, selbst das schlimmste szenario wäre hier an den Server kein Problem.
Mahlzeit
Denn wenn der frei im Internet stehende SQL-Server von jemanden übernommen wurde, wird er sehr schnell zur Viren- und SPAM-Schleuder.
Zitat von @liptonice:
Noch zur Info, selbst das schlimmste szenario wäre hier an den Server kein Problem.
Naja, da wäre ich doch vorsichtig.Noch zur Info, selbst das schlimmste szenario wäre hier an den Server kein Problem.
Denn wenn der frei im Internet stehende SQL-Server von jemanden übernommen wurde, wird er sehr schnell zur Viren- und SPAM-Schleuder.
