windows-server-2008 – 在EventViewer中成功登录的未知和奇怪的RDP

前端之家收集整理的这篇文章主要介绍了windows-server-2008 – 在EventViewer中成功登录的未知和奇怪的RDP前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我有一个带有效IP的 Windows Server 2008 R2,最近我发现在EventViewer中记录了数百个未知和奇怪的RDP成功登录.以下是一些细节:

>它们与正常登录不相​​似,即使我自己登录到服务器,它们也会偶尔发生.
>事件在“Microsoft-Windows-TerminalServices-RemoteConnectionManager / Operational”中读取“远程桌面服务:用户身份验证成功”,事件ID 1149
>他们似乎使用一些没有域名的随机用户帐户.我很确定我没有这些本地用户帐户,并且服务器不属于任何域.合法的RDP登录具有有效的用户帐户和工作组名称,但这些登录使用未知用户名而没有任何工作组.

支持人员无法帮助我,我很好奇这些奇怪的登录是什么.他们是某种暴力攻击吗?那为什么它看起来“成功”?我被黑了?为什么他们不断发生?

编辑:我想再次指出这些帐户不存在于服务器上.我想知道为什么从一个不存在的用户帐户成功登录RDP. (例如,没有用户个人资料文件夹)

仅仅因为不存在用户目录并不意味着用户不存在.检查MMC中的本地用户和服务帐户以验证它们确实不存在.

这些症状通常是RDP蠕虫穿越网络的标志.还要验证您运行的任何反恶意软件实用程序是否是最新的,并在该计算机上运行完整扫描.如果有一个RDP蠕虫并且登录成功,那么你很可能已经被感染了.

原文链接:https://www.f2er.com/windows/367147.html

猜你在找的Windows相关文章