首页新闻找找看学习计划

asp.net windows服务检测进程攻击,过滤掉该IP地址

0
悬赏园豆:100 [已解决问题] 解决于 2016-01-28 13:38

各路大神好,本人小菜.net程序员,目前遇到一个问题,公司服务器遭到定点IP持续攻击,密码被破,SqlServer服务被停掉,目前想用一个windows服务检测该类型攻击,并过滤掉此类IP。来一段代码,目前没有头绪...

小小西-的主页 小小西- | 初学一级 | 园豆:60
提问于:2016-01-27 12:01
< >
分享
最佳答案
0

针对这种攻击向自己开发window服务的监控防御是很脆弱的,如果服务器存在重要数据,不推荐,这里给出三个建议:

1. 有针对安全的经费情况请第三方安全公司或者做安全的第三方团队/个人给出解决方案。

2. 使用开源/免费(选择有点知名度的)安全软件,这类软件网上不少,针对你这种类型的攻击足矣

3. 自己开发,window服务肯定没用,应该考虑从网络层做过滤,网络过滤驱动/或者最简单的网络HOOK技术来实现访问的过滤

收获园豆:60
visonme | 小虾三级 |园豆:1674 | 2016-01-27 15:13
其他回答(4)
0

既然是固定 ip 直接防火墙阻止不行吗?

收获园豆:20
_Arnold | 园豆:635 (小虾三级) | 2016-01-27 12:41

这样只是亡羊补牢,我需要在受到攻击时监测,自动断开连接。

支持(0) 反对(0) 小小西- | 园豆:60 (初学一级) | 2016-01-27 14:00

@小小西-: 

嗯  算是个思路吧   你得先看你要防止的攻击方式是什么,这种攻击方式的攻击原理是什么,你才能找出对策去针对该种攻击去做什么样的事,

一些猜测,密码被破是不是被暴力破解了?或者  sqlserver 被停掉了  是不是注入之类的?

按你说的 总不能在每个页面上都加上一段代码判断   ip是不是它   是他你就不反会请求了。 

支持(0) 反对(0) _Arnold | 园豆:635 (小虾三级) | 2016-01-27 14:25

@xiaoxiao刀: 目前我从服务器日志看到的是 ip地址来自北京市海淀区但是我不知道是不是真机,这个逗逼连续破解我的服务器三天,平均1秒钟刷2到3次,远程登录密码,sqlserver密码都被搞掉了。

支持(0) 反对(0) 小小西- | 园豆:60 (初学一级) | 2016-01-27 14:29

@小小西-: 

一看就是那种跑字典的工具,扫到你远程桌面端口开着了,就开始暴力跑密码字典,你直接防火墙过滤就  ok了    

还有就是你远程桌面端口完全可以  指定ip开放   你别对任何ip都开放

支持(0) 反对(0) _Arnold | 园豆:635 (小虾三级) | 2016-01-27 14:57
0

这个是一家安全公司或者一个高级安全专家才能做好的事,你想一段代码搞定,那就不是菜鸟了,是大大神了。

收获园豆:20
爱编程的大叔 | 园豆:29788 (高人七级) | 2016-01-27 14:13

额,好吧,那请问有没有这种免费的软件能防止攻击?  我对网络安全差不多是一无所知,我需要能预防攻击的  免费的软件,注意是免费的。

支持(0) 反对(0) 小小西- | 园豆:60 (初学一级) | 2016-01-27 14:19
0

如果直接db被攻破了,可能是站点上有注入漏洞,你把你iis的日志拉下来,用logparser找一下,看下有没有请求url较长的或者包含一些sql注入关键字的query。

其次可能你站点已经被挂马了,对你服务器做一次杀毒,检查下线上执行文件与你发布包文件的差异(文件数量,文件大小)

再检查下你站点是否有漏洞的功能,比如富文本编辑器(以前有个啥好像可以直接读到web.config)

回收数据库账户权限,将用户权限最小化,更换密码,检查代码中所有db交互的语句是否有被注入的风险(拼sql)。

检查系统账号,关闭所有非必要账号,更换密码,将站点运行账户权限降低,检查异常机器的系统日志和应用日志,确认无特殊操作(你的情况不像被登录,否则db应该被整个拖走)。更改你站点或服务的业务账号密码,特殊情况下可以把相关功能直接从外网可访问移除。

更新系统,将windows机器放到内网,仅允许特定端口访问(如80,8080),关闭外网的远程登录端口3389和sqlserver 1433,仅允许内网通过跳板机等方式访问,外网访问通过反向代理暴露站点或服务。

在其他机器上找些扫描软件对你站点进行检查,软件比较多,甚至ms自己好像也有。

Daniel Cai | 园豆:10374 (专家六级) | 2016-01-29 10:01
0

针对这种的,建议用安全狗,里面有个规则1433,除你指定的IP可以连接以外,其他不让连接,他就连不了,或者你更改SQL默认端口号,让他慢 慢去猜你端口,或者你的SQL密码搞复杂一些!

海格力斯 | 园豆:208 (菜鸟二级) | 2016-02-02 13:52
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册