DB서버로 MSSQL 2019를 사용중입니다.
다른 프로그램은 없이 DB만 사용중입니다.
외부접근은 DB포트도 변경해서 외부에서 접속시 해당 포트로만 접속하게 셋팅되어 운영중입니다.
다른 포트는 앞단 UTM에서 모두 차단하고 위 DB접속 포트만 열려 있습니다.
그런데 해당 서버 이벤트로그를 보면 2~3초 간격으로 아래와 같은 로그인실패 에러가 엄청나게 많습니다.
윈도우 방화벽(디펜더)도 모두 동작중입니다.
SA계정은 사용안함 상태인데,
접속 계정까지 변경하면서 무차별대입공격을 하는거 같은데
접속 IP가 로컬이라 차단도 못하고 백신/MSERT등 돌려도 감염된 서비스가 나오지 않습니다.
24시간 운영서버라 서비스 중단도 어려운 상태라
난감합니다.
비슷한 사례 격어보신 분이 계시면 조언 부탁드립니다.
----이벤트 로그 발췌------
메시지
Login failed for user 'pos1'. 원인: 제공된 이름과 일치하는 로그인을 찾을 수 없습니다. [클라이언트: 127.0.0.1]
메시지
Login failed for user 'sa'. 원인: 암호를 평가하는 동안 오류가 발생했습니다. [클라이언트: 127.0.0.1]
메시지
Login failed for user 'personel'. 원인: 제공된 이름과 일치하는 로그인을 찾을 수 없습니다. [클라이언트: 127.0.0.1]
Brute force Attack 이군요. 예전에 몇번 논의된 내용이라 링크 우선 드리구요.
https://www.sqler.com/board_SQLQA/252406
아래 두개 앱은 모두 마이크로소프트에서 추천하는 인증한 모니터링 앱입니다.
로컬시스템에서 어떤 프로세스가 로그인을 시도하는지 체크가 필요할 듯 합니다.
OS 버전이 어떤 것인지 잘 모르겠지만,
TCP View 앱으로 어떤 프로세스가 어떤 포트를 사용하는지 GUI로 표시
https://learn.microsoft.com/en-us/sysinternals/downloads/tcpview
또는 PMon 을 이용해 프로세스별 체크도 가능합니다.
https://learn.microsoft.com/en-us/sysinternals/downloads/procmon
각각 포트로 필터를 걸어서 어떤 프로세스가 1433으로 요청하는지 체크해 보시고 조치를 취해보세요.
아마도 비인가 앱이 설치되었을 가능성이 있어 보이네요.