V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
升级到 Windows 11
v2tudnew
V2EX  ›  Windows

RDP 登录日志被清空,是否可能被入侵了?

  •  
  •   v2tudnew · 2021-03-23 11:38:35 +08:00 · 1578 次点击
    这是一个创建于 619 天前的主题,其中的信息可能已经有所发展或是发生改变。
    Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational 140

    Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational 1149

    这两个的日志全没了,但是看了下 FRP 差不多 100MB 的尝试连接日志。

    2021/03/23 05:49:01 [D] [proxy.go:273] [dd37c9ec8dfa7c28] [RDP_TCP] join connections, workConn(l[*.*.*.*:2] r[10.0.0.10:64790]) userConn(l[*.*.*.*:50101] r[185.202.1.98:42468])

    2021/03/23 06:01:40 [D] [proxy.go:273] [dd37c9ec8dfa7c28] [RDP_TCP] join connections, workConn(l[*.*.*.*:2] r[10.0.0.10:64790]) userConn(l[*.*.*.*:50101] r[27.224.137.146:54862])

    100MB 的日志全是 185.202.1.98 这个 IP 弄的,但在最后突然换成了 27.224.137.146 这个 IP,然后所有爆破戛然而止。

    有没有可能是 win 日志自动清除了?比如更新(我前两天更新过一次系统)。但 安全、系统这类日志还在。
    第 1 条附言  ·  2021-03-23 12:14:38 +08:00
    11:58 他又在攻击了(不会是他看到了帖子在唬我吧🤣)。
    我看了下,win 默认只保存 1028KB 日志,会覆盖旧的日志.......
    第 2 条附言  ·  2021-06-25 12:53:29 +08:00
    日志被清空是正常现象,每个子事件都是单独的缓存大小,超过就自动删除了。
    4 条回复    2021-03-23 14:54:21 +08:00
    Osk
        1
    Osk  
       2021-03-23 11:50:39 +08:00 via Android
    Windows 没事清空你的日志干嘛呢。。。
    而且刚好是这两个日志,所以我觉得结论已经很明显了。
    yushuda
        2
    yushuda  
       2021-03-23 12:01:32 +08:00
    secpol.msc 里边审核登录事件默认是不审核的吧...
    你自己找个机器连一下看看有日志么。
    toomlo
        3
    toomlo  
       2021-03-23 14:47:07 +08:00
    爆破成功的情况有两种:
    1.弱口令爆破成功,这种情况有可能是挖矿黑客批量扫描的
    2.强密码爆破成功,这种情况的前提是你的其他资产可能也被黑,发现了明文密码后,黑客组合了密码爆破成功

    更应该谨慎的是第二种情况,这意味着你家可能被盯上了~~~
    v2tudnew
        4
    v2tudnew  
    OP
       2021-03-23 14:54:21 +08:00
    @toomlo 我开始也是认为密码泄露或者对方用漏洞破解了。纯爆破是不怕的,十年后也许能成功。
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1340 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 47ms · UTC 18:55 · PVG 02:55 · LAX 10:55 · JFK 13:55
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.