Hej!

På servern jag sköter åt föreningen jag är med i så fylls eventloggen på några minuter av eventet 17055, källa MSSQLSERVER. I description står:
18456 :
Login failed for user 'sa'.

Är detta hackerförsök, andra SQL servrar på webhotellets nätverk eller kan det bero på annat?
De applikationer som finns på servern (de som använder sqlservern) har jag själv byggt (ASP.NET och 1 winservice) och ingen av dessa använder sig av sa-kontot för db-åtkomst.
Hur kan jag se var inloggningsförsöken härstammar ifrån?

Jo, jag kollar nu med programmet Active Ports och där finns bl.a. en rad gällande process sqlservr.exe.
De IP-adresser jag ser där(flera olika har under en kort tid visats) har jag kollat upp på ripe.net och de verkar peka mot bl.a. asien och moskva(Home Internet Club at Moscow, Leninskiy prospect).

Det verkar alltså vara elakingar som vill åt burken!?

För att kunna administrera SQL servern på distans med Enterprise Manager så är porten 1433 öppen genom webbhotellets brandvägg. Säkert väldigt obra men hur gör ni andra?

>Säkert väldigt obra men hur gör ni andra?

Intrångsförsöken är inte så mycket att göra åt. Men du kan ju göra det svårare att komma in.

1. Använda en annan port än 1433 (gör det iallafall lite svårare)
2. Byt till "windows authentication only". Då måste en hacker ta sig in på domänen för att komma åt databasen.
3. Använd en speciell (non-interactive) domänanvändare som databasens systemadministrator.

Ok, då ska jag klura på detta. Kör förövrigt MSDE-versionen av SQL Server, kanske även ska "uppgradera" till SQL Express framöver.