日常在用的OA数据库发现被爆破中,查看日志有大量的登录失败日志;
Exec xp_readerrorlog 0,1,'Login failed',Null,@begindate,@enddate,'Desc'
建了个存储过程,筛选出所有的攻击ip;
CREATE PROCEDURE ipsearch
@begindate datetime,
@enddate datetime
--@atext VARCHAR(200) output
AS
BEGIN
-- 创建临时表来存储结果
CREATE TABLE #tempTable (adate datetime,
Name VARCHAR(50),
atext VARCHAR(200),
)
-- 执行存储过程,并将结果插入临时表
INSERT INTO #tempTable (adate, name,atext)
Exec xp_readerrorlog 0,1,'Login failed',Null,@begindate,@enddate,'Desc'
-- 查询临时表中的结果
SELECT DISTINCT REPLACE(SUBSTRING(atext, CHARINDEX('[',atext)+6,15),']','') FROM #tempTable
-- 清理临时表
DROP TABLE #tempTable
END
执行,获得ip列表,然后将查询结果导入到火绒的ip黑名单里直接拒绝访问;
EXEC ipsearch null,null
但是过了一段时间发现还是有异常登录,对方会不断地切换ip试图登录,我的端口和账户都不好改,所以换一个思路;
--查询历史登录里登录过sqlserver的ip,然后在防火墙里将这些ip设置在1433的允许ip里,就可以阻止其他ip对1433的登录请求了
SELECT distinct C.CLIENT_NET_ADDRESS
FROM sys.sysprocesses S, sys.dm_exec_connections C
WHERE S.spid = C.SESSION_ID;
然后又过了几天,发现没有登录失败的日志了,问题应该暂时解决了;