EventID 18456 hatası?

Arkadaşlar sunucumda event manager a baktığımda sıklıkla bu hatanın tekrarlandığını görüyorum. Genelde saniyede 4-5 kez olmakla beraber bazen daha fazlada tekrarlanabiliyor. Hata aynen şöyle;

Login failed for user 'sa'. [CLIENT: 95.168.xxx.xxx]

ip adresi şu an kapalı bir oyun sitesine ait. Ne bu oyun sitesiyle nede o ip adresiyle alakalam var. Sanırım vt yi hacklemek istiyor deneme yanılma ile. 

 

Nasıl bir önlem alabilirim, tavsiyeleriniz nelerdir?

Kaspersky Internet Security tarzı firewall yazılımları bir yazılım ilk defa internete erişmeye çalıştığında bunu sizi bildirerek bağlantının devam edip etmemesini size bildirir ve yanıt bekler. Bu özellik sayesinde o ip adresine bağlanmaya çalışan yazılımı tespit edin; ardından da kökünü kazıyın.

Bizde bu tarz olayların olmaması için sa kullanıcısını serverı kurar kurmaz disable etmeyi öneriyoruz.

Bence sizde sa kullanıcısını disable edin ve daha farklı bir admin hesabı ile giriş yapın. mümkünse windows authentication ile.

Cevaplar için teşekkürler arkadaşlar. Dediklerinizi uygulayacağım.

Bu arada saldırının geldiği yeri tespit ettikten sonra hizmet aldıgı firmaya durumu açıkladığımda arkadaş baya ilgili oldu ve saldırıyı yapan hesabı kapattılar. Milletin işi gücü yok abuk sabuk şeylerle uğraşıyorlar. İşin enterasan tarafı mssql de bir tane veritabanı tanımlı oda demo için :)...Şifreiy alsa ne olacak oda ayrı bir şey 🙂

Neyse, teşekkürler tekrardan.

Arkadaşım ayrıca modemden Dos saldırılarını engelle. Modemin Firewall özelliği var ise ordan dan bu statik ip engelleyebilirsin. Aynı durum bendede söz konusu oldu ben modemden kapattım sustu