Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SQL Datenbank wird von außen angegriffen

Frage Sicherheit Erkennung und -Abwehr

Mitglied: liptonice

liptonice (Level 1) - Jetzt verbinden

13.02.2013 um 16:27 Uhr, 3752 Aufrufe, 11 Kommentare

Hallo,

ich habe im Internet einen Windows 2008 Server. Darauf läuft eine SQL Datenbank, die von mehreren Usern im Büro abgerufen wird.

Nun ist mir in den logs aufgefallen das eine IP aus China seit 2 Wochen probiert die Datenbank zu hacken. Es werden pro Sekunde Anmeldedaten an die SQL Datenbank geschickt wird. Es kommt dann eine Fehlermeldung das der Benutzer und Passwort nicht stimmt.

Hat jemand eine Idee wie ich das verhindern kann, das diese fremde IP versucht sich an der Datenbank anzumelden?
Die IP wechselt auch alle 24 Stunden, so wie hier auch die öffentlichen IPs von unseren Providern.
Mitglied: sk
13.02.2013 um 16:30 Uhr
Warum steht der SQL-Server direkt im Internet? Dafür gibt es VPN...

Gruß
sk
Bitte warten ..
Mitglied: Ravers
13.02.2013 um 16:35 Uhr
Moin,

verhindern kannst du es natürlich nicht. Sicherheit kannst du evtl. erhöhen durch die länge des Passwortes, Sonderzeichenpflicht o.ä..

Aber im Endeffekt gebe ich sk recht - was sucht/macht er da??

greetz
ravers
Bitte warten ..
Mitglied: catachan
13.02.2013 um 17:10 Uhr
Zitat von sk:
Warum steht der SQL-Server direkt im Internet? Dafür gibt es VPN...


Das hab ich mich auch sofort gefragt. Kann es sein dass der Server bei einem Hoster steht ?

LG
Bitte warten ..
Mitglied: liptonice
13.02.2013 um 17:16 Uhr
Hallo,

Ihr habt natürlich recht, besser wäre wenn die Datenbank direkt auf den Server im Büro stehen würde, aber leider geht das momentan nicht.

Der Server im Internet stellt die Datenbank bereit da dort die Bandbreite höher ist. Im Büro ist momentan nur eine langsame DSL Leitung verfügbar. Das dauert auch noch ca 6 Monate, dann wird die datenbank umgezogen und ist dann von außerhalb nicht mehr erreichbar. Nur per VPN.

Das Passwort ist schon sehr sicher blöd ist nur das ich innerhalb von einen Tag tausende Anmeldeversuche an der Datenbank habe und deshalb die Datenbank sich öfters aufhängt. Deshalb ist es auch aufgefallen. Wir haben den Fehler gesucht der die datenbank beeinträchtigt.
Bitte warten ..
Mitglied: catachan
13.02.2013 um 17:20 Uhr
Hi

dann sperr auf der Windowsfirewall den Port des MSSQL Servers (ich glaube 1433/TCP) für alle außer der IP deiner Firma (sofern du eine statische IP hast)

LG
Bitte warten ..
Mitglied: liptonice
13.02.2013 um 17:45 Uhr
Hallo Catachan,

Das ist ja schonmal ein guter Ansatz, leider ist es wie du sagst nicht möglich da wir einen Provider haben der die IP Adresse von unserer DSL Leitung ändert.
Bitte warten ..
Mitglied: catachan
13.02.2013 um 17:58 Uhr
Hi

dann bleibt nur noch VPN über, oder damit leben.

LG
Bitte warten ..
Mitglied: kaiand1
13.02.2013 um 18:15 Uhr
Moin
Nun dann Sperre doch einfach den IP Bereich von China.
Da der Zugriff sicherlich Eingeschränkt ist wer Zugriff auf die DB hat könntes du auch mit ner Whitelist arbeiten...
Bitte warten ..
Mitglied: Dobby
13.02.2013 um 22:58 Uhr
Hallo liptonice,

ich habe im Internet einen Windows 2008 Server.
Selber schuld, hört sich gemein an, ist aber nicht so gemeint, doch so ist es nun einmal.
Im Jahre 2001 des Herren habe ich auch einmal so einen Gedanken laut geäußert und genau zwei Minuten
später habe ich diesen dann auch verworfen! Und da war das mit dem SQL Injection noch nicht so mainstream!!!!!!

Darauf läuft eine SQL Datenbank,....
Am besten Du sagst und das das eine Entwicklerdatenbank ist und Eure Firma auch noch forscht oder so was!
Und noch toller, etwa so etwas wie "wir wollen demnächst ein Patent anmelden" na da brauchen wir wenigstens nicht mehr raten was die Chinesen denn dort suchen!

Nun ist mir in den logs aufgefallen das eine IP aus China seit 2 Wochen probiert die Datenbank zu hacken.
Na da kommst Du aber früh an mit Deinem Problem, ist das etwa wirklich wahr das Du da zwei Wochen zuschaust?
Da dort die staatlich geförderte Industriespionage Hochkonjunktur hat und leider auch nicht abzustellen ist
würde ich eben wieder sagen "Selber schuld". Wenn das nicht die Chinesen aus Hamburg sind, die sich auch gerade
um das selbe Projekt wie Eure Firma, via Ausschreibung bewirbt!

Es werden pro Sekunde Anmeldedaten an die SQL Datenbank geschickt wird. Es kommt dann eine Fehlermeldung das der Benutzer und Passwort nicht stimmt.
Das ist doch schick stell Dir vor die sind schon drinnen und melden sich absichtlich mit dem falschen Anmeldedaten
an damit Du denkst das noch alles sicher ist oder wäre und die räumen Dir die Kiste leer und fangen seit zwei Wochen alles an Arbeit ab was Ihr dort eintragt! Am besten gleich noch mit Eurer Datenbank für alle Teile und Bestellungen das man auch ja zu den gleichen Konditionen bestellen kann, super.

Hat jemand eine Idee wie ich das verhindern kann, das diese fremde IP versucht sich an der Datenbank anzumelden?
Ja klar doch, nimm sie ganz schnell vom Netz und sage Deinem Chef er soll Geld holen und Du "setzt" diesen Freitag ab Morgen Mittag, den Server neu auf und alles ist hübsch. Und zwar im LAN, in Eurem LAN, hinter einer Firewall. Wobei, bei den Anstrengungen die die "chinesische" Seite aus Wolfenbüttel unternimmt wohl eine UTM auch
gut käme.

Die IP wechselt auch alle 24 Stunden, so wie hier auch die öffentlichen IPs von unseren Providern.
Ne schon klar, das hat ja gut funktioniert, wenn seit 14 Tagen, also ganzen 10 Arbeitstagen die Meldung kommt das
sich da jemand dran anmelden möchte bzw. zu schaffen macht, klasse.

@kaiand1
Nun dann Sperre doch einfach den IP Bereich von China.
Klar, nur wenn das die Konkurrenzfirma aus dem Nachbarort ist, die in direktem Wettbewerb mit liptonice´s Firma steht und die sich nur über den Einwahlknoten Beijing (Peking) an den Server ran machen, dann kommen die "Chinesen" morgen eben über Vietnam, Honolulu, den USA oder Chile, diese Art von Chinesen wirst Du so nicht los. Denn wenn die schon seit 14 Tagen diese Aktion "fahren" haben sie auch schon Blut geleckt und das ist
dann eben nicht mehr so lustig!!!!!

Da der Zugriff sicherlich Eingeschränkt ist wer Zugriff auf die DB hat könntes du auch mit ner Whitelist arbeiten...
Falls da nicht schon was ganz anderes drauf installiert worden ist!
Ich mache mal eben eine s.g. Milchmädchenrechnung auf:
- 120.000 € zahle ich für eine Sonderanfertigung von H & B Garry
- Der Hacker aus China bekommt keinen Stundenlohn, das sind Kommunisten und machen alles für die großen Bruder
Mao der im Himmel auf sie wartet und das kostet eben nicht viel!!!!!
- Also alles zusammen mit Strom und pi pa po, kostet das ganze so um die 200.000 €
- Aber das was sie damit gewinnen können ist evtl. Millionen wert, in China!
Also mit einer Whitelist wirst Du die wohl nicht mehr los. Denn wenn dadurch ca. 1000 "chinesiche" Firmen ihr "Know How" erweitern und das am besten noch in der industriellen Fertigung,.......
Oder die Chinesen aus Unterfranken so 10 KM entfernt sind es die nicht locker lassen!

Das klingt immer etwas krasser als es wirklich ist oder man kann das wahre Ausmaß gar nicht abschätzen aber das weiß auch eben nur liptonice und nicht wir!

- Server aus
- Backup anfertigen (aber vorsichtig) nicht gleich bei Euch aufspielen denn dann "funkt" Euer Netzwerk evtl. raus
- Server Hardware kaufen und zusammen bauen, alles in VALNs packen und die SQL Datenbank nur im LAN stehen haben
ohne Kontaktmöglichkeit nach außen hin (ACLs). Layer3 Switch sollte also vorhanden sein.
- Firewall (UTM) anschaffen und den Syslog auf eine sichere Maschine schicken und die abdichten so gut es geht.
Würde mich nicht wundern wenn demnächst eine Menge Spam mit "Anhang" kommt!
- Snort aufsetzen mit 3G Modem und Alarm über SMS und an einen Monitorport vom Switch hängen (Mirrored Port)
- WireShark Installieren und täglich prüfen Dateigröße sollte je nach Aufkommen und Eingangstärke bei 2 GB pro
Datei liegen
- Ist WLAN im Betrieb vorhanden? Dann noch schnell einen Radius Server dazu und abwarten.
- Alle PCs nach Viren scannen und mal schauen was da so drauf ist?

liptonice:
Wenn Du nun sagst ihr seit doch aber nur 5 Leute mit Rechnern!
Freue Dich doch, dann ist wenigstens alles schnell erledigt!
Aber was wollen "die" dann von Euch?

Wenn Du nun aber antwortest, wir sind ein Betrieb mit 150 Mitarbeitern, dann frage ich mich warum da nicht
etwas anständiges angeschafft wurde.

Früher hatte man eben auch noch ein paar "alte" Geräte zur Hand mit denen sich das alles schnell
hätte realisieren lassen, aber danke der schicken VM Welt und dem tollen Outsourcing ist das mitunter eben nicht mehr möglich.

Der Server im Internet stellt die Datenbank bereit da dort die Bandbreite höher ist.
Als bei Euch im Büro?

Im Büro ist momentan nur eine langsame DSL Leitung verfügbar. Das dauert auch noch ca 6 Monate, dann wird die datenbank umgezogen und ist dann von außerhalb nicht mehr erreichbar. Nur per VPN.
Mach Dir keinen Kopf mehr bis dahin haben die alles was sie wollen! Dann ist das Problem ja fast erledigt.

Das Passwort ist schon sehr sicher blöd ist nur das ich innerhalb von einen Tag tausende Anmeldeversuche an der Datenbank habe und deshalb die Datenbank sich öfters aufhängt.
Oder haben die "Chinesen" aus Osnabrück den Server einfach "abgeschossen" um Code einzuschleusen und auszuführen?

Deshalb ist es auch aufgefallen. Wir haben den Fehler gesucht der die datenbank beeinträchtigt.
Problem erkannt, Gefahr gebannt! Aber irgend wie sieht mir das eher nach der Vogel Strauß Methode aus!
Da ist eben nur der Unterschied, das wenn der Vogel Strauß sich umdreht und mit seinen Krallen eine "verteilt"
die Gedärme gleich hübsch vor den Füßen liegen! Irgend wie fehlt das hier aber.

Gruß, Glück und viel Erfolg
Dobby
Bitte warten ..
Mitglied: liptonice
14.02.2013 um 09:52 Uhr
Hallo Dobby,

ich mach mir keine großen Sorgen um die Inhalte der Datenbank. Da sind nur Fotos und Produktinformationen von Elektronikkram drin. Die Datenbank dient dazu einen Onlineshop zu füttern. Also selbst wenn alle Daten geklaut werden, hätte man nicht mehr als Produktfotos uns Beschreibungen die sowieso frei verfügbar sind.

Ich versuch mal mit einer Whitelist klar zu kommen.

Noch zur Info, selbst das schlimmste szenario wäre hier an den Server kein Problem.
Bitte warten ..
Mitglied: goscho
14.02.2013, aktualisiert um 13:06 Uhr
Mahlzeit
Zitat von liptonice:
Noch zur Info, selbst das schlimmste szenario wäre hier an den Server kein Problem.
Naja, da wäre ich doch vorsichtig.

Denn wenn der frei im Internet stehende SQL-Server von jemanden übernommen wurde, wird er sehr schnell zur Viren- und SPAM-Schleuder.
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Festplatten, SSD, Raid
Vergleich zweier SSD-Typen im Raid-10 für den Anwendungsfall SQL-Datenbank (8)

Frage von DerWoWusste zum Thema Festplatten, SSD, Raid ...

Windows Server
Eine bestimmte SQL-Datenbank wird nicht jeden Tag gesichert? (12)

Frage von AlbertMinrich zum Thema Windows Server ...

Windows Server
gelöst SQL Datenbank Umzug (4)

Frage von hornissenmann zum Thema Windows Server ...

Windows Server
Microsoft SQL-Datenbank Syncronisieren

Frage von Herbrich19 zum Thema Windows Server ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (10)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...