我的 Windows 服务器遭受了数千次黑客攻击,导致安全日志出现错误 4625 条目。黑客使用随机 IP,因此常用的 RDPguard、Syspeace 等工具不起作用。服务器上的端口 3389 已关闭,因此我对持续的攻击感到惊讶。
我想弄清楚攻击者在尝试攻击时连接到了哪些本地端口,但我发现的所有自动化工具都只查看 IP。而且默认的 Windows 服务器日志也只显示 IP 和远程端口,而不显示本地端口。
我知道我可以手动查看 Wireshark 日志,但那太费力了。我想找到一个可以监控失败登录并简单地将其与本地端口进行核实的工具,这样我就知道要关闭哪些端口。理想情况下,这不会生成巨大的日志或需要持续监控;该工具最好由错误登录触发并收集端口和服务信息。有什么想法吗?
答案1
我认为最好的工具就是 Windows 本身。由于您已经启用了 Windows 防火墙,因此您可以使用其日志记录来查看和监控所需的流量。
事件日志:详细信息位于本 Technet 底部https://technet.microsoft.com/en-us/library/dd421717(v=ws.10).aspx
Windows 防火墙日志:或者您可以启用 Windows 防火墙中的日志记录并将其转储到文件中。https://www.howtogeek.com/220204/how-to-track-firewall-activity-with-the-windows-firewall-log/
或者具有高级安全性的Windows防火墙下的监控部分。