破解mssql暴力破解活动检测：威胁与防御.（检测到mssql暴力）

破解MSSQL暴力破解活动检测：威胁与防御

破解MSSQL暴力破解活动是由攻击者利用暴力强奸的技术手段来试图获取MSSQL数据库系统的验证信息。这种攻击的目的是破解系统的身份验证设置，获取机器的有效凭据，以便获得对特定资源的访问权限。

MSSQL数据库运行的服务器可能会受到暴力破解的威胁。这项攻击的破坏力可能是严重的，因为成功的攻击者可能会获得对数据库系统的完全控制权。具体破解方式包括穷举账户、字典攻击、混淆攻击、拓展手段等。

从安全角度考虑，这意味着MSSQL服务器必须能够以有效的方式有效地发现和响应暴力破解活动。出于这个原因，MSSQL系统提供了一些管理和安全工具，比如自动检测和警报、双因素身份验证、系统日志审计等，用于发现攻击行为。

此外，建议在MSSQL服务器上运行事件分析器（参见代码1），以及自定义的响应脚本（参见代码2）。Event Analyzer被用来检测可疑的暴力破解活动。它会监测计算机上的安全日志，以获取在任何时刻从MSSQL服务器尝试登录或访问资源的恶意用户。

另外，在这种情况下，建议使用一个新的账户登录MSSQL数据库，而不是使用Administrator账户（参见代码3）。这可以有效的降低攻击者的攻击行动，减少破解活动的可能性。

代码1：

SELECT *

FROM sys.server_principals

WHERE is_policy_checked = 1

代码2：

CREATE TRIGGER attack_detector

ON ALL SERVER

FOR LOGIN, LOGOUT

AS

BEGIN

IF EVENTDATA().value(‘(/EVENT_INSTANCE/LoginName)[1]’, ‘varchar(128) ‘) LIKE ‘%Adminname%’

BEGIN

— Send a mail about the attack

DECLARE @message VARCHAR(MAX)

SET @message = ‘A suspicious logon action detected from’

+ ‘ ‘ + EVENTDATA().value(‘(/EVENT_INSTANCE/LoginName)[1]’, ‘varchar(128)’))

+ ‘ ‘ + ‘at the time’

+ ‘ ‘ + EVENTDATA().value(‘(/EVENT_INSTANCE/StartTime)[1]’, ‘varchar(128)’)

EXEC msdb.dbo.sp_send_dbmail

@profile_name = ‘Exchange Mail’,

@subject = ‘Attack Detected!’,

@body = @message;

END

END

代码3：

–First create a login id with windows authentication

CREATE LOGIN [your_username_here] FROM WINDOWS;

–Then grant db_ddladmin role to the newly created login

ALTER ROLE db_ddladmin ADD MEMBER [your_username_here];