Server liên tục bị dò pass

[duckquang]

Chào cả nhà!
Mình là thành viên mới tham gia diễn đàn.
Hiện nay, mình có 1 Server, kiểm tra log thì thấy có 2 vấn đề
1. Account Administrator liên tục bị dò pass (Login báo sai pass) do mình đã lock tài khoản Administrator và thay bằng 1 tài khoản Admin khác.
2. SQL liên tục bị dò pass tài khoản "sa" từ 1 client không rõ ràng (Chỉ có địa chỉ IP và có rất nhiều IP khác nhau, mình nghĩ đây chỉ là IP ảo của hacker).
Mình có gửi kèm hình ảnh của các log
Rất mong anh em cho giải pháp để xử lý dứt điểm. Mình không rành lắm về Server, cũng chỉ biết quản trị tạm tạm thôi.
Xin chân thành cám ơn anh em.

 

Theo mình thì khả năng cao là do 1 service nào đó đang chạy có access đến database của bạn để truy vấn, nhưng vì bạn đã lock user admin cũ nên service vẫn try reconnect. Đơn giản vì thời gian giữa các lần request giãn cách cũng tương đối, vài giây 1 lần chứ không phải dạng bruteforce tự nhiên.
Hoặc bạn có thể dùng các service để tự động ban ip nếu số lần request quá lớn chẳng hạn.

 

Hi bạn
Dấu hiệu bị brute force mật khẩu đã khá rõ ràng
Đầu tiên, bạn nên đổi các mật khẩu. Sau đó đặt các chính sách an ninh cho việc login (sai bao nhiêu lần thì khóa, thời gian khóa,...)
Sau đó bạn để ý xem Firewall trên windows đã bật chưa, để ngăn chặn: tắt các port không sử dụng, chỉ bật các port cần thiết. Nếu database dùng xác thực trên windows thì để, còn nếu không thì tắt luôn.
Nhớ là cần theo dõi thường xuyên xem tình hình thế nào để còn xử lý tiếp

 

Hi bạn
Dấu hiệu bị brute force mật khẩu đã khá rõ ràng
Đầu tiên, bạn nên đổi các mật khẩu. Sau đó đặt các chính sách an ninh cho việc login (sai bao nhiêu lần thì khóa, thời gian khóa,...)
Sau đó bạn để ý xem Firewall trên windows đã bật chưa, để ngăn chặn: tắt các port không sử dụng, chỉ bật các port cần thiết. Nếu database dùng xác thực trên windows thì để, còn nếu không thì tắt luôn.
Nhớ là cần theo dõi thường xuyên xem tình hình thế nào để còn xử lý tiếp

Em cũng nghĩ thế. Pass thì đã đổi hết rồi. Tình trạng này mới xảy ra. Khi log vào kiểm tra thì phát hiện thêm là Task Manager bị disable luôn. Đã thử dùng tool của kas, cài cả bkav endpoint vào nhưng vẫn không quét được gì cả. Hiện tượng bây giờ là máy chạy khá chậm. Ko bật được Task Manager nên ko biết có bị full RAM hay CPU ko.

 

Việc server bị dò password

Em cũng nghĩ thế. Pass thì đã đổi hết rồi. Tình trạng này mới xảy ra. Khi log vào kiểm tra thì phát hiện thêm là Task Manager bị disable luôn. Đã thử dùng tool của kas, cài cả bkav endpoint vào nhưng vẫn không quét được gì cả. Hiện tượng bây giờ là máy chạy khá chậm. Ko bật được Task Manager nên ko biết có bị full RAM hay CPU ko.

Trường hợp này bạn nên mua 1 bản anti virus quét sạch virus cho máy sau đó kiểm tra task manager đã khôi phục được chưa. Để chống brute force mật khẩu bạn đặt whitelist cho phép 1 số ip nhất định vào port remote của server và chặn all ip khác. Tương tự với port truy xuất dữ liệu SQL server.

 

Bạn đã sửa được chưa? Hiện tại mình cũng đang bị như thế? toàn bị treo Server luôn.

 

Đổi pass. Đổi port và Tắt luôn remote desktop hoặc chỉ cho phép một số IP

 

Việc server bị dò password

Trường hợp này bạn nên mua 1 bản anti virus quét sạch virus cho máy sau đó kiểm tra task manager đã khôi phục được chưa. Để chống brute force mật khẩu bạn đặt whitelist cho phép 1 số ip nhất định vào port remote của server và chặn all ip khác. Tương tự với port truy xuất dữ liệu SQL server.

đặt whitelist cho phép 1 số ip nhất định vào port remote của server và chặn all ip khác ntn vậy a. Hướng dẫn e chi tiết hơn đc k ạ, e n mới tìm hiểu nên chưa rõ lắm

 

Đổi pass. Đổi port và Tắt luôn remote desktop hoặc chỉ cho phép một số IP

Chỉ cho phép 1 số ip truy cập từ bên ngoài vào hay trong mạng LAN vậy a

 

Chỉ cho phép 1 số ip truy cập từ bên ngoài vào hay trong mạng LAN vậy a

Nếu là remote thì là IP bên ngoài mạng LAN chứ bạn...

 

Có khả năng bên ngoài dò, cũng có thể máy trong mạng LAN đang dò