Discussion :

[lindab72]

Bonjour,

Je constate depuis quelques temps des tentatives de connexion à Mssql avec le user 'sa' sur mon serveur Web.

Error: 18456, Severity: 14, State: 8.
Login failed for user 'sa'. Reason: Password did not match that for the login provided. [CLIENT: 43.240.137.16]

Je pense que ces attaques répétées provoquent l'arrêt de l'instance Mssql, car je suis obligée de la redémarrer réguilèrement.

Pour le moment, j'ai installé Fail2Ban sur le serveur Linux pour bloquer les IP qui font trop de tentatives.

Mais j'aimerais savoir s'il est possible, et comment, de bloquer toute tentative de connexion avec le user 'sa' depuis l'exterieur, ou si vous avez une autre solution pour éviter ce type d'attaques.
Je ne suis pas du tout spécialiste "sécurité".

Merci pour votre aide

[gabriel21]

Tu auras quelques informations sur l'adresse :

https://www.abuseipdb.com/check/43.240.137.16

fail2ban devrait éviter ce type de problème.

Quelques considérations générales de configuration:
- as tu besoin que ton serveur soit accessible par tous? Si non, tu peux configurer le serveur pour n’accepter que les requêtes émanant des serveurs ou poste de travail autorisés. Pour MSSQL, je ne sait pas le faire. Je le fait sur des SGBD Mariadb/Mysql et postgresql. Par défaut mes bases n'écoutent que sur le localhost, car les bases et les applications sont sur le même serveur.
- par défaut, tous mes serveurs sont équipé de fail2ban dès qu'ils sont exposés sur le Web.
- parfeu actif et ne laissant accès qu'au port expressément nommé. Deny all par défaut.
- compte applicatif non autorisé à se connecter : utilisation systématique du sudo.

[mikedavem]

Hello,

Je pense que ces attaques répétées provoquent l'arrêt de l'instance Mssql, car je suis obligée de la redémarrer réguilèrement.

Je serai le 1er surpris de cet effet de bord. Je pense que le problème est ailleurs notamment la configuration de la mémoire etc ... mais il faudrait nous dire pourquoi tu dois l'arrêter et quels sont les symptômes que tu observes.

Je rejoins lindab72 sur le point de l'exposition. Est-ce que tu as vraiment besoin d'exposer ton serveur SQL sur internet ?
Où se trouve ton application? Sur le même serveur ? Est-ce que tu héberges ton instance sur un provider cloud? Vu la description ca serait plutôt en IaaS?

Tu peux déjà commencer par changer le port par défaut car la plupart des scanneurs commençent par le 1433 et le compte sa
Le parefeu peut aussi t'aider à faire le tri sur les connexions entrantes.
Tu peux éventuellement désactiver les connexions à distance et autoriser uniquement que le localhost (une option à configurer)
...

Bref, pas mal de petites choses à envisager qui vont déjà t'aider à éviter le plus gros du scan depuis Internet

++

[lindab72]

Merci beaucoup pour ces indications.
Pour répondre à mikedavem, ce n'est pas moi qui arrête l'instance mssql.c'est elle qui plante.
Je pensais que les attaques à répétition généraient un trop grand nombre de logs , et que de ce fait, l'appli "plantait".
Depuis l'installation hier de Fail2Ban, de nombreuses IP ont été bloquées, et mssql ne s'est pas arrêté, c'est un bon début !

L'application Web et SQL Server sont sur le même serveur. Je n'ai effectivement pas besoin que mon serveur SQL soit visible sur Internet.

Je vais donc suivre vos conseils et modifier le port dans un 1er temps.

Tu peux éventuellement désactiver les connexions à distance et autoriser uniquement que le localhost (une option à configurer)

Pouvez-vous m'en dire plus sur ces configurations, svp ?

Je vous remercie

[mikedavem]

Merci beaucoup pour ces indications.
Pouvez-vous m'en dire plus sur ces configurations, svp ?

Depuis SQL Server Management Studio > Ton instance SQL Server > Connections > Remote Server Connections > Décocher Allow Remote Connections to this server

A tester bien sûr ...

++

[lindab72]

Merci encore pour tous ces conseils.
Je vais mettre ça en application !

[SQLpro]

Bonjour,

Je constate depuis quelques temps des tentatives de connexion à Mssql avec le user 'sa' sur mon serveur Web.

Je pense que ces attaques répétées provoquent l'arrêt de l'instance Mssql, car je suis obligée de la redémarrer réguilèrement.

Il n'y a aucune raison pour que ces tentatives d'accès provoque l'arrêt de votre instance SQL Server, sauf si vos disques étaient pleins....

Pour le moment, j'ai installé Fail2Ban sur le serveur Linux pour bloquer les IP qui font trop de tentatives.

Mais j'aimerais savoir s'il est possible, et comment, de bloquer toute tentative de connexion avec le user 'sa' depuis l'exterieur, ou si vous avez une autre solution pour éviter ce type d'attaques.
Je ne suis pas du tout spécialiste "sécurité".

Merci pour votre aide

Une autre solution consisterait à auditer plus en avant les paramètres de connexion en codant un déclencheur FOR LOGON.

Mais comme le dit mikedavem, l'arrêt d'un serveur SQL peux être lié à un très mauvais paramétrage. Vérifiez si les bonnes pratiques ont été appliquées dans la configuration, notamment en limitant la RAM du serveur.

A +