我是服务器管理的新手,因此如果这是一个非常基本的问题,我深表歉意。
当我查看服务器的事件日志时,我注意到在“应用程序和服务日志 > Microsoft > Windows > RemoteDesktopServices-RdpCoreTS”分支下有一连串警告。打开一些警告后会显示以下消息:
A connection from the client computer with an IP address of xx.xx.xx.xx failed because
the user name or password is not correct.
此警告多次出现在不属于我们任何受信任远程站点的各种 IP 地址上。我已经发现了 8-10 个 IP,主要来自欧洲 ISP 瑞典/波兰/荷兰等。我不确定我们是否受到了某种攻击。我的问题是:
- 我如何才能找到有关此事件和 IP 的更多信息。例如,事件日志中显示的 IP 地址使用的用户名/密码组合是什么。
- 上述事件日志仅显示今天早上的日志。如何找到同一分支下的旧日志?
答案1
您找不到用户名和密码——存储的只有成功或失败。
如果您在互联网上开放了 RDP,那么您会看到很多这样的服务器。坏人会不断扫描和攻击此类服务器。最终,他们中的一个可能会幸运地猜出某人的密码。
要查看所有内容,请按您感兴趣的记录的事件 ID 进行筛选。大多数日志在开始删除旧记录之前仅存储一定大小,因此可能不会回溯太远。