Honnan tudod, hogy most is támadják a szervered?

Képzeld el, hogy a házadban van egy hátsó ajtó, amit sosem szoktál használni. Egy nap kilépsz, és látod, hogy a kilincs karcos, a zár körül kopásnyomok vannak. Valaki próbálkozott – csak épp nem jutott be.

Pontosan ez történik a legtöbb Windows szerveren is, csak itt nem kopásnyomok vannak, hanem bejegyzések a rendszer naplójában. A kérdés az: mikor nézted meg utoljára?

Hol látod a próbálkozásokat?

A Windows mindent feljegyez. Minden sikertelen bejelentkezési kísérletet eltárol egy naplóban, amit Eseménynaplónak (Event Viewer) hívnak. Nem kell hozzá semmit telepíteni – ott van minden Windows szerveren, alapból.

A sikertelen bejelentkezések egy konkrét számon futnak: 4625. Ha ezt a számot keresed a naplóban, azonnal látod, hányszor próbálkozott valaki rossz jelszóval.

Hogyan nézd meg? (2 perc)

1. Nyomd meg a Windows + R billentyűt, írd be: eventvwr.msc, majd Enter
2. A bal oldali fában kattints: Windows naplók → Biztonság
3. A jobb oldalon kattints a Jelenlegi napló szűrése (Filter Current Log) gombra
4. Az Eseményazonosító (Event ID) mezőbe írd be: 4625
5. Kattints az OK gombra

Ami megjelenik, az a sikertelen bejelentkezések listája. Minden sor egy próbálkozás – dátummal, időponttal, és hogy melyik IP-címről érkezett.

Mit fogsz látni?

Ha a szervered elérhető az internetről távoli asztallal, szinte biztos, hogy nem üres listát fogsz kapni. A legtöbb szerveren naponta több száz vagy akár több ezer ilyen bejegyzés van.

Nézd meg a következőket:

• Hány bejegyzés van az elmúlt 24 órában? Ha százas nagyságrendű, az már aktív próbálkozás.
• Milyen felhasználónevekkel próbálkoznak? Tipikus nevek: Administrator, Admin, Test, User, Guest. Ha olyan nevet látsz, ami nem is létezik a gépeden – az biztosan kívülről jött.
• Honnan jönnek? Minden bejegyzésben van egy IP-cím. Ha külföldi, ismeretlen IP-ket látsz, az automatizált támadás jele.

Miért baj ez, ha úgysem jutnak be?

Jogos kérdés. Ha a jelszó erős, akkor mi a gond? Három dolog:

Először is, a szervered dolgozik rajta. Minden egyes próbálkozást el kell bírálnia, el kell utasítania, és naplóznia kell. Ez olyan, mintha a portás minden nap ezrével fordítana el ismeretleneket az ajtóból – közben az igazi munkát nem tudja rendesen végezni. Erről bővebben írtunk az előző cikkünkben.

Másodszor, a napló megtelik. Ha ezrével jönnek a hamis bejegyzések, egyre nehezebb kiszúrni, ha valami fontos történik. Olyan, mintha a biztonsági kamera felvételén ezrével mászkálnának ismeretlenek – és közben kellene megtalálni azt az egyet, aki tényleg gyanús.

Harmadszor, az idő nem a te oldaladon áll. A támadók nem sietnek. Ha naponta tízezer próbálkozást tesznek, az havi háromszázezer kísérlet. Előbb-utóbb trafikálhatnak, különösen ha a jelszó nem elég hosszú vagy bonyolult.

Mit csinálj, ha sok bejegyzést találsz?

Ha megnézted és ezreket látsz – ne ijedj meg, de ne is hagyd figyelmen kívül. A helyzet kezelhető.

A leghatékonyabb megoldás az, ha a próbálkozók automatikusan ki lesznek tiltva, mielőtt még komolyabb számban próbálkozhatnának. Pontosan ezt csinálja a BruteFence: figyeli ezeket a 4625-ös eseményeket, és ha egy IP-címről többször jön rossz jelszó, automatikusan blokkolja.

Ez után nem ezreket fogsz látni a naplóban, hanem néhány tucatot – mert a támadók már az első pár kísérlet után ki lesznek zárva.

Összefoglalás

A szervered naplója nem hazudik. Ha megnézed a 4625-ös eseményeket, pontosan látod, mennyien próbálkoznak. A legtöbb szerveren ez a szám meglepően magas – és ez nem szűnik meg magától. A BruteFence automatikusan kezeli: kitiltja a próbálkozókat, védi a teljesítményt, és tisztán tartja a naplót. Két perc megnézni, két perc megoldani.