Thaiadmin

ถูกโจมตีที่ SQL Server

0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้

ออฟไลน์ unleesuk

  • *
  • 198
  • 0
  • เพศ: หญิง
ถูกโจมตีที่ SQL Server
« เมื่อ: 24 มีนาคม 2016, 17:34:31 »
ถ้าให้ Server connect internet เมื่อไหร่จะถูกโจมตีที่ SQL ค่ะ ที่ SQL จะมี log แจ้งว่าไวรัสพยายาม access sql database เพื่อเปลี่ยนรหัสผ่าน sql server แก้ไขเบื้องต้นคือเปลี่ยน password sql server แต่ไวรัสก็ยังพยายามโจมตีค่ะ (ตามรูป) ต้องแก้ไขอย่างไรดีค่ะ ขอคำแนะนำด้วยค่ะ[/url][/img]
*จะบล๊อกไอพีที่ Firewall มันก็เปลี่ยน IP ไปเรื่อยๆ เปิด Firewall บน server แล้ว application ก็จะใช้งานไม่ได้
« แก้ไขครั้งสุดท้าย: 24 มีนาคม 2016, 17:49:59 โดย unleesuk »

ออฟไลน์ lusifer

  • *****
  • 2,987
  • 11
  • เพศ: ชาย
  • Create new planet
Re: ถูกโจมตีที่ SQL Server
« ตอบกลับ #1 เมื่อ: 25 มีนาคม 2016, 08:05:34 »
สวัสดีครับ
หนทางยังมีเสมอ แต่ทางที่ดีที่สุด ไม่ควรให้ SQL Server , Application Server สามารถเชื่อมต่อกับโลก internet อันแสนโหดร้าย
แนะนำดังนี้นะคับ
1. หากมี SQL Server ตัวเดียวให้ แจ้ง User Down ระบบ 4 ชม เพื่อ ป้องกัน การกระจายของไวรัส (ยอมโดนดุ ดีกว่า โดยไวรัสกระจายทั้งระบบ)
2. ตัดการเชื่อมต่อของ SQL server กับ Internet
3. ไปหา Backup data และ SQL backup (ต้องมีนะ เอา backup set ที่ระบบใช้งานได้เป็นปกติ)
4. หา Server ตัวที่ว่างๆ หรือถ้าไม่้มีให้ ลง Esxi 5.5 VMWare ในServer หรือ PC(ขอ spec แรงๆ) ลง Windows , SQL server , App ที่ต้องใช้ ที่สำคัญ ลง Anti - virus+ path ล่าสุด
5. restore data ทั้งหมด กาลเวลาขึ้นอยู่กับ data file .
6. เปลี่ยน ip address ไปที่ Firewall  block ที่port ที่ไม่ใช้งาน เปิด เฉพาะ SQL UDP , TCP/IP
7. หาก มี Fire wall ให้ map ip Local SQServer ให้เชื่ิอมต่อกับ Application server เท่านั้น หาก IP address unknown ให้ reject
8. ลอง test application server กับ SQL server ที่สร้างมาชั่วคราว หาก applicationใช้งานได้ ก็ Ok
9. กลับมาที่ตัวปัญหา ให้ตรวจสอบ process แปลกๆ ใน Task Manager หาก Malware remover มาจัดการ แก้ไข Antivirus ที่ Up data off line (ย้ำ off line เท่านั้น ห้ามต่อ Network)
10. เมื่อหมด หนทาง ก็ มาทางเดียว คือ Format เท่านั้น จัดไป ไม่ต้องเสียน้ำตา
11. เมื่อ วัวหายแล้ว ค่อย มาล้อมคอกกัน จัดระบบ Security ใหม่ หมด เพื่อสวัสดิภาพของ Server และ ป้องกัน External Audit อย่างข้าน้อยไป เยี่ยมเยียน
12. May the force with you
<b>กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย</b>

ออฟไลน์ wichate

  • *
  • 595
  • 6
Re: ถูกโจมตีที่ SQL Server
« ตอบกลับ #2 เมื่อ: 25 มีนาคม 2016, 08:12:59 »
ลองเปลี่ยน port หนีครับ

ออฟไลน์ unleesuk

  • *
  • 198
  • 0
  • เพศ: หญิง
Re: ถูกโจมตีที่ SQL Server
« ตอบกลับ #3 เมื่อ: 25 มีนาคม 2016, 08:36:52 »
สวัสดีครับ
หนทางยังมีเสมอ แต่ทางที่ดีที่สุด ไม่ควรให้ SQL Server , Application Server สามารถเชื่อมต่อกับโลก internet อันแสนโหดร้าย
แนะนำดังนี้นะคับ
1. หากมี SQL Server ตัวเดียวให้ แจ้ง User Down ระบบ 4 ชม เพื่อ ป้องกัน การกระจายของไวรัส (ยอมโดนดุ ดีกว่า โดยไวรัสกระจายทั้งระบบ)
2. ตัดการเชื่อมต่อของ SQL server กับ Internet
3. ไปหา Backup data และ SQL backup (ต้องมีนะ เอา backup set ที่ระบบใช้งานได้เป็นปกติ)
4. หา Server ตัวที่ว่างๆ หรือถ้าไม่้มีให้ ลง Esxi 5.5 VMWare ในServer หรือ PC(ขอ spec แรงๆ) ลง Windows , SQL server , App ที่ต้องใช้ ที่สำคัญ ลง Anti - virus+ path ล่าสุด
5. restore data ทั้งหมด กาลเวลาขึ้นอยู่กับ data file .
6. เปลี่ยน ip address ไปที่ Firewall  block ที่port ที่ไม่ใช้งาน เปิด เฉพาะ SQL UDP , TCP/IP
7. หาก มี Fire wall ให้ map ip Local SQServer ให้เชื่ิอมต่อกับ Application server เท่านั้น หาก IP address unknown ให้ reject
8. ลอง test application server กับ SQL server ที่สร้างมาชั่วคราว หาก applicationใช้งานได้ ก็ Ok
9. กลับมาที่ตัวปัญหา ให้ตรวจสอบ process แปลกๆ ใน Task Manager หาก Malware remover มาจัดการ แก้ไข Antivirus ที่ Up data off line (ย้ำ off line เท่านั้น ห้ามต่อ Network)
10. เมื่อหมด หนทาง ก็ มาทางเดียว คือ Format เท่านั้น จัดไป ไม่ต้องเสียน้ำตา
11. เมื่อ วัวหายแล้ว ค่อย มาล้อมคอกกัน จัดระบบ Security ใหม่ หมด เพื่อสวัสดิภาพของ Server และ ป้องกัน External Audit อย่างข้าน้อยไป เยี่ยมเยียน
12. May the force with you
ขอบคุณสำหรับความช่วยเหลือมากค่ะ
1. มี Sql Server ทั้งหมด 3 ตัว ตรวจสอบแล้วค่ะโดนแค่ตัวนี้ตัวเดียว กำลังคิดว่าจะลองเปลี่ยน IP ของเครื่องนี้ดูค่ะ
2. ตอนนี้ตัดการเชื่อมต่อกับ Internet ไปแล้วค่ะ แต่พอ connect เมื่อไหร่มาเลยค่ะ
3. มี backup servert ของเครื่องนี้อยู่ค่ะ (เอาไว้เทสรัน app ก่อนอัพขึ้นตัวจริงคือตัวที่โดนไวรัส) เปิดตลอด ต่อเน็ตเช่นกันค่ะ แต่ไม่โดนค่ะ เลยคิดว่ามันฝังลงไปหรือเครืองหรือมันจำ IP ไว้
4. เดี๋ยวจะลอง map ip Local SQServer ให้เชื่ิอมต่อกับ Application server ตามที่บอกค่ะ
5. สุดท้ายถ้าไม่ได้คงต้อง format

ีunlock

Re: ถูกโจมตีที่ SQL Server
« ตอบกลับ #4 เมื่อ: 25 มีนาคม 2016, 08:58:21 »
รอดไป ยังดีที่ยังเจาะไม่ได้ อย่าลืมทำ auto backup ด้วยละ วันไหนเจาะเข้ามาได้ยังพอมีทางออก

แต่มันไม่มีทาง block ip ที่เข้ามาเลยเหรอ ท่านไหนพอจะมีทางบ้าง ???

ออฟไลน์ unleesuk

  • *
  • 198
  • 0
  • เพศ: หญิง
Re: ถูกโจมตีที่ SQL Server
« ตอบกลับ #5 เมื่อ: 25 มีนาคม 2016, 11:39:31 »
รอดไป ยังดีที่ยังเจาะไม่ได้ อย่าลืมทำ auto backup ด้วยละ วันไหนเจาะเข้ามาได้ยังพอมีทางออก

แต่มันไม่มีทาง block ip ที่เข้ามาเลยเหรอ ท่านไหนพอจะมีทางบ้าง ???
คือไอพีมันเปลี่ยนไปเรื่อยๆเลยค่ะ

ออฟไลน์ g¦llÑáldö

  • *****
  • 1,522
  • 7
  • เพศ: ชาย
  • --> Secure your server <---
Re: ถูกโจมตีที่ SQL Server
« ตอบกลับ #6 เมื่อ: 26 มีนาคม 2016, 23:00:36 »
เท่าที่จากล็อกไม่น่าจะเป็นไวรัสนะครับ น่าจะเป็น Botnet จากภายนอกพยายาม Brute force (เดา username/ password) เข้ามายังเครื่องนี้ครับ
ไม่แน่ใจว่าเครื่องดังกล่าวเป็น Public IP หรือว่าเป็น Private IP ครับ แนะนำให้ทำ Windows Firewall หรือ Personal Firewall อื่นๆ โดยปิด TCP/1433 จากภายนอกครับ

บน Windows Firewall สามารถกำหนด Source IP ที่เข้ามาเชื่อมต่อได้นะครับ ลองดูตามเอกสาร
https://gearhost.zendesk.com/hc/en-us/articles/200341715-Block-IP-address-with-Windows-Firewall-2008-2012
https://technet.microsoft.com/en-us/library/cc753558.aspx

ซึ่งจริงๆ แล้วพวก Admin Port ทั้งหลายก็จำเป็นต้อง Filter จากภายนอกเช่นเดียวกัน เช่น RDP (TCP/3389), MSSQL (TCP/1433) เป็นต้น
ซึ่งการ Filter port ดังกล่าวนั้นเป็นหน้าที่ของ Network Firewall ในกรณีที่ไม่มีก็อาจจะใช้งาน Personal Firewall ช่วยก็พอไหวครับ  ;)
Hacker is friend, User is teacher
===================================
รับสอน FreeBSD, Linux, Window และการดูแลระบบ
http://www.thaiadmin.org/board/index.php?topic=516.0

หนังสือ Linux Server Administrator + Security
http://www.thaiadmin.org/board/index.php?topic=16756893.0

ออฟไลน์ unleesuk

  • *
  • 198
  • 0
  • เพศ: หญิง
Re: ถูกโจมตีที่ SQL Server
« ตอบกลับ #7 เมื่อ: 28 มีนาคม 2016, 09:20:46 »
เท่าที่จากล็อกไม่น่าจะเป็นไวรัสนะครับ น่าจะเป็น Botnet จากภายนอกพยายาม Brute force (เดา username/ password) เข้ามายังเครื่องนี้ครับ
ไม่แน่ใจว่าเครื่องดังกล่าวเป็น Public IP หรือว่าเป็น Private IP ครับ แนะนำให้ทำ Windows Firewall หรือ Personal Firewall อื่นๆ โดยปิด TCP/1433 จากภายนอกครับ

บน Windows Firewall สามารถกำหนด Source IP ที่เข้ามาเชื่อมต่อได้นะครับ ลองดูตามเอกสาร
https://gearhost.zendesk.com/hc/en-us/articles/200341715-Block-IP-address-with-Windows-Firewall-2008-2012
https://technet.microsoft.com/en-us/library/cc753558.aspx

ซึ่งจริงๆ แล้วพวก Admin Port ทั้งหลายก็จำเป็นต้อง Filter จากภายนอกเช่นเดียวกัน เช่น RDP (TCP/3389), MSSQL (TCP/1433) เป็นต้น
ซึ่งการ Filter port ดังกล่าวนั้นเป็นหน้าที่ของ Network Firewall ในกรณีที่ไม่มีก็อาจจะใช้งาน Personal Firewall ช่วยก็พอไหวครับ  ;)
- เป็น Private IP ค่ะ
- ไม่สามารถบล๊อก 1433 ที่ Firewall ได้ค่ะ เนื่องจากมีแอพหลายตัวที่ใช้พอร์ตนี้อยู่ ตอนนี้กำลังคุยกับทางโปรแกรมเมอร์ว่าสามารถเปลี่ยนพอร์ตที่แอพของเครื่องที่ดดนได้หรือไม่ ถ้าได้ก็จะบล๊อกพอร์ตที่ตัว server ค่ะ
- จาก log ที่เห็นไอพีที่ยิงมาจะเปลี่ยนไปเรื่อยๆ มันสามารถบล๊อกได้หรือค่ะ

ออฟไลน์ g¦llÑáldö

  • *****
  • 1,522
  • 7
  • เพศ: ชาย
  • --> Secure your server <---
Re: ถูกโจมตีที่ SQL Server
« ตอบกลับ #8 เมื่อ: 28 มีนาคม 2016, 23:35:26 »
- เป็น Private IP ค่ะ
- ไม่สามารถบล๊อก 1433 ที่ Firewall ได้ค่ะ เนื่องจากมีแอพหลายตัวที่ใช้พอร์ตนี้อยู่ ตอนนี้กำลังคุยกับทางโปรแกรมเมอร์ว่าสามารถเปลี่ยนพอร์ตที่แอพของเครื่องที่ดดนได้หรือไม่ ถ้าได้ก็จะบล๊อกพอร์ตที่ตัว server ค่ะ
- จาก log ที่เห็นไอพีที่ยิงมาจะเปลี่ยนไปเรื่อยๆ มันสามารถบล๊อกได้หรือค่ะ

การเปลี่ยนพอร์ทไม่ได้เป็นการแก้ไขปัญหาแต่อย่างใดครับ แค่ช่วยชะลอเวลาที่จะโดนโจมตีแค่นั้นเอง หาก botnet หรือแฮกเกอร์ทำการ Scan Port มาก็เจอแล้วครับ (เทคนิคนี้ไม่ยากอะไร)

ส่วนการบล็อกนั้น สามารถทำได้ครับโดยการทำไฟร์วอลล์ให้ปิดทั้งหมด จากนั้นเปิดเฉพาะไอพีแอดเดรสที่อนุญาตให้เข้ามาเชื่อมต่อเท่านั้น นั่นแปลว่าจะต้องทราบว่าเครื่อง SQL Server ดังกล่าวมีไอพีแอดเรสไหนเข้ามาเชื่อมต่อบ้าง หากเป็นโปรแกรมจากภายนอกที่ไม่สามารถระบุไอพีแอดเดรสได้นั้น การใช้เทคนิค VPN ก็เป็นการช่วยได้อีกทางหนึ่งครับ เพราะถ้าหากไม่ปิดช่องทางดังกล่าวก็เป็นการปล่อยให้ Botnet เข้ามาเดาชื่อผู้ใช้งาน (Brute Force) ของเครื่องคุณได้อยู่ดี  ;)
Hacker is friend, User is teacher
===================================
รับสอน FreeBSD, Linux, Window และการดูแลระบบ
http://www.thaiadmin.org/board/index.php?topic=516.0

หนังสือ Linux Server Administrator + Security
http://www.thaiadmin.org/board/index.php?topic=16756893.0

ออฟไลน์ Supanirun.R

  • *****
  • 1,772
  • 5
  • เพศ: ชาย
  • TH@min Membership
Re: ถูกโจมตีที่ SQL Server
« ตอบกลับ #9 เมื่อ: 29 มีนาคม 2016, 00:23:13 »
เพิ่มเติมต่อจากท่าน lusifer ครับ
การถูกโจมตีจากภายนอกเป็นเรื่องปกติครับ ใครบอกว่าไม่เคย แสดงว่าไม่รู้ แสดงว่าไม่มีอุปกรณ์ตรวจจับครับ
ผมเองโดนทุกวันครับ โดนเฉพาะ brute force attack
เคยคุยกับ ISP เขามีบริการกรอง Traffic ให้ก่อนรอบหนึ่งแต่เสียตังครับเลยไม่สนใจ

เอา Server ไว้หลัง Firewall ครับ ผมหมายถึง DMZ นะครับ กันทั้ง ข้างนอกและข้างใน ถึงจะไม่ 100% แต่ก็ 99.99% ครับ

เคย Audit โปรแกรมเมอร์ หรือเปล่าครับ ? เขาใส่ใจในการ Codding มากแค่ไหน คำนึงถึง Security น้อยกว่า output ?
ข้างนอกรู้ได้อย่างไรว่าเราใช้ SQL .. น่าคิดนะครับ  ;D






 
กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย

ออฟไลน์ stwatchai

  • *****
  • 3,917
  • 4
  • เพศ: ชาย
  • System & Network Administrator
Re: ถูกโจมตีที่ SQL Server
« ตอบกลับ #10 เมื่อ: 29 มีนาคม 2016, 09:09:39 »
ควรจะทำ ip filter คือการที่กำหนดให้ ip อะไรสามารถเข้ามาเชื่อมต่อกับ server เราได้บ้างครับ อาจจะเป็น subnet ก็ได้ครับ

ออฟไลน์ unleesuk

  • *
  • 198
  • 0
  • เพศ: หญิง
Re: ถูกโจมตีที่ SQL Server
« ตอบกลับ #11 เมื่อ: 31 มีนาคม 2016, 11:18:48 »
ขอบคุณทุกท่านมากค่ะ ตอนนี้ได้คำตอบแล้วค่ะ มันโจมตีผ่าน IP นึง (Public IP)ที่ทำการ forward มาที่เครื่อง server นี้ค่ะ ต้องเอาออก

Re: ถูกโจมตีที่ SQL Server
« ตอบกลับ #12 เมื่อ: 31 มีนาคม 2016, 11:33:19 »
ขอบคุณทุกท่านมากค่ะ ตอนนี้ได้คำตอบแล้วค่ะ มันโจมตีผ่าน IP นึง (Public IP)ที่ทำการ forward มาที่เครื่อง server นี้ค่ะ ต้องเอาออก

ใครคือต้นเหตุ ลากไส้ออกมาซะ     ;>D