TELNET服务是常见远程登录仿真服务，用户可以使用TELNET远程登录系统，执行任意命令。此事件属获取权限类攻击。攻击者可能正在尝试猜测有效的TELNET服务用户名和口令，如果成功，攻击者可以登录到系统执行各种命令甚至完全控制系统。

　　[对策]

　　密切留意攻击来源的进一步活动，如果觉得有必要阻塞其对服务器的连接访问。

　　事件5 TELNET服务用户认证失败

　　TELNET服务往往是攻击者入侵系统的渠道之一。大多数情况下，合法用户在TELNET登录过程中会认证成功。如果出现用户名或口令无效等情况，TELNET服务器会使认证失败。如果登录用户名为超级用户，则更应引起重视，检查访问来源是否合法。如果短时间内大量出现TELNET认证失败响应，则说明主机可能在遭受暴力猜测攻击。

　　[对策]

　　1、检查访问来源的IP、认证用户名及口令是否符合安全策略。

　　2、密切关注FTP客户端大量失败认证的来源地址的活动，如果觉得有必要，可以暂时禁止此客户端源IP地址的访问。

　　事件6 TELNET服务用户弱口令认证

　　攻击者可能利用扫描软件或人工猜测到TELNET服务的弱口令从而非法获得FTP服务的访问，也可能结合TELNET服务器的本地其他漏洞获取主机的控制权。

　　[对策]

　　1、提醒或强制相关的TELNET服务用户设置复杂的口令。

　　2、设置安全策略，定期强制用户更改自己的口令。

　　事件7 Microsoft SQL 客户端SA用户默认空口令连接

　　Microsoft SQL数据库默认安装时存在sa用户密码为空的问题，远程攻击者可能利用这个漏洞登录到数据库服务器对数据库进行任意操作。更危险的是由大多数MS-SQL的安装采用集成Windows系统认证的方式，远程攻击者利用空口令登录到SQL服务器后，可以利用MS-SQL的某些转储过程如xp_cmdshell等以LocalSystem的权限在主机上执行任意命令，从而取得主机的完全控制。

　　[对策]

　　1、系统的安全模式尽量使用“Windows NT only”模式，这样只有信任的计算机才能连上数据库。

　　2、为sa账号设置一个强壮的密码;

　　3、不使用TCP/IP网络协议，改用其他网络协议。

　　4、如果使用TCP/IP网络协议，最好将其默认端口1433改为其他端口，这样攻击者用扫描器就不容易扫到。