Login failed for user 'sa'. 原因: 密码与所提供的登录名不匹配。 [客户端: **.**.**.**]
客户端都是来自于公网上的.这个有么有好的解决方案.
-------------------------------------------------------------------------------
看来是有人在攻击你们的数据库,一般数据库最好放在内网不要开放给外网。
解决办法:
1.可以更改数据库的端口号
2.如果SA不用的话可以Disable然后创建一个跟SA权限一样的账户
3.可以屏蔽外部IP地址
但是这些更改需要评估,不要对应用程序造成影响。
-----------------------------------------------------------------------------
偶尔查看windows服务器系统日志,发现有很多sa登录的失败信息,ip来自全国各地,多的时候一秒钟有十次尝试登录事件,在这里虚心向大家请教,这样的攻击会对网络速度有什么样的影响,对数据库的运行有什么样的影响,有什么好的方法可以制止。同时谴责这样无聊又没有技术含量的攻击攻击。
一般的服务器几十万的pv都顶的住,应该没事,只是日志多了点,把密码改强一点就不怕穷举了,这样的都是字典攻击随机服务器,看你1433开着就定期来扫一下。
可以用下面任意一种方法:
ip策略设置为特定IP才能访问,局域网或只允许公司IP和web服务器IP
禁用sa账号,平时也不用,远程登录就行了。
更改sql默认的1433端口,随便改个靠后的就行了,只是相关的连接应用程序都要改设置,
于我的公司来说,不使用默认端口是一项基本开发策略,连21和3389都要改掉。
在web.config可以把IP后面加上,端口号:source=xx.xx.xx.xx,xxxx
近日发现挂在外网上的服务器莫名其妙地重启,该服务器目前主要启动了IIS服务,SQL SERVER 服务。远程登录,发现系统反应很慢,有明显的停滞感,打开任务管理器,CPU使用率在基本30左右。打开事件查看器,在应用程序中发现大量的级别为信息来源为MSSQL$PNCSMS,事件ID为18456,任务类别为登录的记录,几乎24小时不间断,每秒钟有15次个记录,每个记录的内容大体相同,如“用户 'sa' 登录失败。 原因: 找不到与所提供的名称相匹配的登录名。 [客户端: 60.191.144.214]”只不过其中的用户名有时不同,客户端IP地址也会过一段时间(几分钟至几小时不等)变化一次。经查这个IP地址是属湖南、河南等地。
很显然,有人企图用遍历密码的方法入侵数据库,重更名了数据库的sa,将数据库的IPALL的TCP端口,由默认的1433改为另外一个端口号(所有应用都得跟着改连接字符串,痛苦)。重启服务,跑了一天,再来看事件查看器,再也找不到类似记录,CPU使用率下降至5左右,系统反应明显加快。问题得到圆满解决。
为了防止黑客遍历系统登录帐户,又将Administrator进行了更名,但更名后,SQL SERVER启动不了了,在服务中找到SQL SERVER ,对其登录帐户进行了重新设置,重启计算机,SQL SERVER启动成功了。
http://bbs.51cto.com/thread-1036422-1.html
https://q.cnblogs.com/q/11759/
https://www.2cto.com/database/201411/351107.html