Azure: de nombreuses tentatives de connexion échouées enregistrées
J'exécute un serveur SQL sur une machine virtuelle Azure. J'ai remarqué dans les journaux d'événements du serveur de nombreux tentatives de connexion SQL ayant échoué à l'aide d'une tonne de noms d'utilisateur différents (dont aucun n'existe):
La connexion a échoué pour l'utilisateur 'kisadminnew1'. Raison: Impossible de trouver un login correspondant au nom fourni. [Client: 124.117.233.94]
La connexion a échoué pour l'utilisateur 'Djapple'. Raison: Impossible de trouver un login correspondant au nom fourni. [Client: 124.117.233.94]
La connexion a échoué pour l'utilisateur 'Chine'. Raison: Impossible de trouver un login correspondant au nom fourni. [Client: 124.117.233.94]
La connexion a échoué pour l'utilisateur 'vice'. Raison: Impossible de trouver un login correspondant au nom fourni. [Client: 124.117.233.94]
Dans tout, il y a probablement quelques centaines de tentatives aléatoires à la même heure pendant la nuit.
Devrais-je m'inquiéter à ce sujet? On dirait-il que quelqu'un essaie d'avoir accès à mon serveur SQL via une force brute et est-ce commun?
Est-ce que le TCP Port SQL Server est-il écoutant sur Open globalement?
Si oui, oui je serais inquiet. S'il y a un mot de passe pouvant être brutalement forcé ou deviné, ou un exploit qui permet à quelqu'un de contourner l'authentification, votre base de données pourrait éventuellement être compromise. Vous serez également vulnérable aux attaques qui n'exigent pas d'accès, telles que quelqu'un remplissant le lecteur qui possède des journaux d'erreur SQL Server sur celui-ci en créant de nombreuses connexions en échec chaque seconde.
Si le TCP Port est ouvert sur Internet, les tentatives de connexion indésirables sont normales. Basé sur mon expérience de travail chez les FAI et les entreprises d'hébergement, une machine exposée à Internet sera sondé sur Les ports connus toute la journée (et Port scannés périodiquement) si la circulation n'est pas supprimée par un pare-feu.
D'autre part, si vous avez des règles de pare-feu restrictives qui prévoient explicitement le 124.117.233.94, il est probable que l'un de vos clients ou collègues à cette adresse a eu un ordinateur compromis.
Vous pouvez actuellement lire sur le contrôle du trafic sur Azure Virtual Machines ici . Une bonne pratique consiste à tout laisser tomber par défaut et à autoriser explicitement uniquement le trafic que vous souhaitez. Peut-être que quelqu'un d'autre va éditer cela pour ajouter des informations supplémentaires.