Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

Login failed sospechosos

21/03/2009 - 15:12 por Andres L. Arias Paz | Informe spam
Ayuda Hacer una pregunta
Hola a todos !

Hace un tiempo vengo observando en el log de SQL server los siguientes
registros:


Login failed for user 'sa'. [CLIENTE: 95.28.211.48]
Error: 18456, gravedad: 14, estado: 8.

Login failed for user 'root'. [CLIENTE: 95.28.211.48]
Error: 18456, gravedad: 14, estado: 5.

que no son siempre de la misma dirección IP y al parecer es un ataque
por fuerza bruta (porque utiliza distintos nombres de usuarios: admin,
root, sa, etc.)

Tengo un servidor windows 2003 server con el SQL Server 2005 Enterprise
Edition (versión 9.00.3042.00). El servidor está conectado a internet
mediante una conexión de ADSL y el router tiene abierto el puerto 1433.
Alguien me puede ayudar ? Le pasó algo parecido ? Se trata de algún
intento de ataque al servidor ?

También figura en el LOG el siguiente mensaje, lo cuál me parece más
raro aún, porque la aplicación que utiliza el Servidor SQL no se conecta
con el usuario sa (hay otro usuario definido), el usuario sa existe,
pero sirve a los fines de administración de las BD.

Login failed for user 'sa'. [CLIENTE: <local machine>]
Error: 18456, gravedad: 14, estado: 8.

Gracias nuevamente y espero comentarios.

Andrés Arias Paz
email Siga el debateRespuesta 3 respuestasRespuesta Tengo una respuesta

Preguntas similare

Mostrar todos los temas similares

Leer las respuestas

#1 Maxi
21/03/2009 - 15:16 | Informe spam
Es muy probable que sea un intento de ataque, por eso es bueno aplicar las
best practice. Una de ellas es deshabilitar el usuario SA de ese 2005,
revisa tambien que la cuenta de servicios no corra ni como localsystem ni
conmo admin de nada. Y pone un buen firewall :)



Maxi Accotto
Microsoft MVP en SQL Server
Consultor en SQL Server



"Andres L. Arias Paz" escribió en el mensaje de
noticias:
Hola a todos !

Hace un tiempo vengo observando en el log de SQL server los siguientes
registros:


Login failed for user 'sa'. [CLIENTE: 95.28.211.48]
Error: 18456, gravedad: 14, estado: 8.

Login failed for user 'root'. [CLIENTE: 95.28.211.48]
Error: 18456, gravedad: 14, estado: 5.

que no son siempre de la misma dirección IP y al parecer es un ataque por
fuerza bruta (porque utiliza distintos nombres de usuarios: admin, root,
sa, etc.)

Tengo un servidor windows 2003 server con el SQL Server 2005 Enterprise
Edition (versión 9.00.3042.00). El servidor está conectado a internet
mediante una conexión de ADSL y el router tiene abierto el puerto 1433.
Alguien me puede ayudar ? Le pasó algo parecido ? Se trata de algún
intento de ataque al servidor ?

También figura en el LOG el siguiente mensaje, lo cuál me parece más raro
aún, porque la aplicación que utiliza el Servidor SQL no se conecta con el
usuario sa (hay otro usuario definido), el usuario sa existe, pero sirve a
los fines de administración de las BD.

Login failed for user 'sa'. [CLIENTE: <local machine>]
Error: 18456, gravedad: 14, estado: 8.

Gracias nuevamente y espero comentarios.

Andrés Arias Paz
Respuesta Responder a este mensaje
#2 Gustavo Larriera [MVP]
22/03/2009 - 01:18 | Informe spam
Seré curioso, para qué quiere usted tener abierto en su router el puerto
donde escucha SQL Server?

Gustavo Larriera, Microsoft MVP
http://www.linkedin.com/in/gustavolarriera
Este mensaje se proporciona tal como es, sin garantías de ninguna clase.



"Andres L. Arias Paz" wrote:

Hola a todos !

Hace un tiempo vengo observando en el log de SQL server los siguientes
registros:


Login failed for user 'sa'. [CLIENTE: 95.28.211.48]
Error: 18456, gravedad: 14, estado: 8.

Login failed for user 'root'. [CLIENTE: 95.28.211.48]
Error: 18456, gravedad: 14, estado: 5.

que no son siempre de la misma dirección IP y al parecer es un ataque
por fuerza bruta (porque utiliza distintos nombres de usuarios: admin,
root, sa, etc.)

Tengo un servidor windows 2003 server con el SQL Server 2005 Enterprise
Edition (versión 9.00.3042.00). El servidor está conectado a internet
mediante una conexión de ADSL y el router tiene abierto el puerto 1433.
Alguien me puede ayudar ? Le pasó algo parecido ? Se trata de algún
intento de ataque al servidor ?

También figura en el LOG el siguiente mensaje, lo cuál me parece más
raro aún, porque la aplicación que utiliza el Servidor SQL no se conecta
con el usuario sa (hay otro usuario definido), el usuario sa existe,
pero sirve a los fines de administración de las BD.

Login failed for user 'sa'. [CLIENTE: <local machine>]
Error: 18456, gravedad: 14, estado: 8.

Gracias nuevamente y espero comentarios.

Andrés Arias Paz

Respuesta Responder a este mensaje
#3 Jose Mariano Alvarez
23/03/2009 - 03:23 | Informe spam
Tiene aspecto de un ataque.

Sugiero que requiera de passwords complejas para evitar que los usuarios
puedan utilizar contraseñas simples y asigne los minimos permisos posibles.

Si le es posible, evite que este directamente conectado a internet sino
debera dedicarle especial atencion a la seguridad en el SQL Server.



Saludos


Ing. Jose Mariano Alvarez
http://blog.josemarianoalvarez.com/
Microsoft MVP
SQLTotal Consulting

(Cambia los ceros por O y saca lo que sobra)

Este mensaje se proporciona tal como es, SIN GARANTIAS de ninguna clase. Por
favor tratar de indicar la versión de SQL y Service Pack. La inclusión de
(CREATE, INSERTS, etc.) para poder reproducir el problema también ayuda.










"Andres L. Arias Paz" wrote in message
news:
Hola a todos !

Hace un tiempo vengo observando en el log de SQL server los siguientes
registros:


Login failed for user 'sa'. [CLIENTE: 95.28.211.48]
Error: 18456, gravedad: 14, estado: 8.

Login failed for user 'root'. [CLIENTE: 95.28.211.48]
Error: 18456, gravedad: 14, estado: 5.

que no son siempre de la misma dirección IP y al parecer es un ataque por
fuerza bruta (porque utiliza distintos nombres de usuarios: admin, root,
sa, etc.)

Tengo un servidor windows 2003 server con el SQL Server 2005 Enterprise
Edition (versión 9.00.3042.00). El servidor está conectado a internet
mediante una conexión de ADSL y el router tiene abierto el puerto 1433.
Alguien me puede ayudar ? Le pasó algo parecido ? Se trata de algún
intento de ataque al servidor ?

También figura en el LOG el siguiente mensaje, lo cuál me parece más raro
aún, porque la aplicación que utiliza el Servidor SQL no se conecta con el
usuario sa (hay otro usuario definido), el usuario sa existe, pero sirve a
los fines de administración de las BD.

Login failed for user 'sa'. [CLIENTE: <local machine>]
Error: 18456, gravedad: 14, estado: 8.

Gracias nuevamente y espero comentarios.

Andrés Arias Paz
email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida