RDP 登录日志被清空,是否可能被入侵了?

2021-03-23 11:38:35 +08:00
 v2tudnew
Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational 140

Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational 1149

这两个的日志全没了,但是看了下 FRP 差不多 100MB 的尝试连接日志。

2021/03/23 05:49:01 [D] [proxy.go:273] [dd37c9ec8dfa7c28] [RDP_TCP] join connections, workConn(l[*.*.*.*:2] r[10.0.0.10:64790]) userConn(l[*.*.*.*:50101] r[185.202.1.98:42468])

2021/03/23 06:01:40 [D] [proxy.go:273] [dd37c9ec8dfa7c28] [RDP_TCP] join connections, workConn(l[*.*.*.*:2] r[10.0.0.10:64790]) userConn(l[*.*.*.*:50101] r[27.224.137.146:54862])

100MB 的日志全是 185.202.1.98 这个 IP 弄的,但在最后突然换成了 27.224.137.146 这个 IP,然后所有爆破戛然而止。

有没有可能是 win 日志自动清除了?比如更新(我前两天更新过一次系统)。但 安全、系统这类日志还在。
1907 次点击
所在节点    Windows
4 条回复
Osk
2021-03-23 11:50:39 +08:00
Windows 没事清空你的日志干嘛呢。。。
而且刚好是这两个日志,所以我觉得结论已经很明显了。
yushuda
2021-03-23 12:01:32 +08:00
secpol.msc 里边审核登录事件默认是不审核的吧...
你自己找个机器连一下看看有日志么。
toomlo
2021-03-23 14:47:07 +08:00
爆破成功的情况有两种:
1.弱口令爆破成功,这种情况有可能是挖矿黑客批量扫描的
2.强密码爆破成功,这种情况的前提是你的其他资产可能也被黑,发现了明文密码后,黑客组合了密码爆破成功

更应该谨慎的是第二种情况,这意味着你家可能被盯上了~~~
v2tudnew
2021-03-23 14:54:21 +08:00
@toomlo 我开始也是认为密码泄露或者对方用漏洞破解了。纯爆破是不怕的,十年后也许能成功。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/764197

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX