这是一个创建于 1311 天前的主题,其中的信息可能已经有所发展或是发生改变。
Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational 140
Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational 1149
这两个的日志全没了,但是看了下 FRP 差不多 100MB 的尝试连接日志。
2021/03/23 05:49:01 [D] [proxy.go:273] [dd37c9ec8dfa7c28] [RDP_TCP] join connections, workConn(l[*.*.*.*:2] r[10.0.0.10:64790]) userConn(l[*.*.*.*:50101] r[185.202.1.98:42468])
2021/03/23 06:01:40 [D] [proxy.go:273] [dd37c9ec8dfa7c28] [RDP_TCP] join connections, workConn(l[*.*.*.*:2] r[10.0.0.10:64790]) userConn(l[*.*.*.*:50101] r[27.224.137.146:54862])
100MB 的日志全是 185.202.1.98 这个 IP 弄的,但在最后突然换成了 27.224.137.146 这个 IP,然后所有爆破戛然而止。
有没有可能是 win 日志自动清除了?比如更新(我前两天更新过一次系统)。但 安全、系统这类日志还在。
第 1 条附言 · 2021-03-23 12:14:38 +08:00
11:58 他又在攻击了(不会是他看到了帖子在唬我吧🤣)。
我看了下,win 默认只保存 1028KB 日志,会覆盖旧的日志.......
第 2 条附言 · 2021-06-25 12:53:29 +08:00
日志被清空是正常现象,每个子事件都是单独的缓存大小,超过就自动删除了。
4 条回复 • 2021-03-23 14:54:21 +08:00
|
|
1
Osk 2021-03-23 11:50:39 +08:00 via Android
Windows 没事清空你的日志干嘛呢。。。 而且刚好是这两个日志,所以我觉得结论已经很明显了。
|
|
|
2
yushuda 2021-03-23 12:01:32 +08:00
secpol.msc 里边审核登录事件默认是不审核的吧... 你自己找个机器连一下看看有日志么。
|
|
|
3
toomlo 2021-03-23 14:47:07 +08:00
爆破成功的情况有两种: 1.弱口令爆破成功,这种情况有可能是挖矿黑客批量扫描的 2.强密码爆破成功,这种情况的前提是你的其他资产可能也被黑,发现了明文密码后,黑客组合了密码爆破成功
更应该谨慎的是第二种情况,这意味着你家可能被盯上了~~~
|
|
|
4
v2tudnew 2021-03-23 14:54:21 +08:00
@ toomlo 我开始也是认为密码泄露或者对方用漏洞破解了。纯爆破是不怕的,十年后也许能成功。
|