在 Windows Server 2008 企业版上,没有任何变化,但最近任务管理器中出现了很多、和csrss.exe
进程LogonUI.exe
。svchost.exe
winlogon.exe
这是否意味着某些远程会话处于活动状态(服务器已被破坏)或者其他什么?
编辑:
我检查了事件日志,似乎有人试图以Administrator
用户身份登录。这似乎是一种自动化工具。我该如何防御(阻止黑客 IP...)?
以下是日志:
An account failed to log on.
...
Logon Type: 10
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: Administrator
Account Domain: ...
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: ...
Sub Status: ...
Process Information:
Caller Process ID: ...
Caller Process Name: C:\Windows\System32\winlogon.exe
Network Information:
Workstation Name: ...
Source Network Address: ...
Source Port: ...
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
This event is generated when a logon request fails. It is generated on the computer where access was attempted.
...
答案1
登录类型 10 是远程交互式登录,这意味着有人正在尝试通过 RDP 登录。您是否允许 RDP 通过防火墙连接到服务器?
答案2
许多 Windows 服务都使用 svchost.exe。您可以查看 services.msc 节点来查看它们。只需双击某些服务(如 dhcp 客户端或 dns 客户端)即可查看 Windows 将为该服务启动的可执行文件。如果您担心终端服务或远程桌面连接,您可以转到任务管理器中的用户选项卡,查看当前是否有人登录。当然,这仅适用于 Microsoft 远程工具。