我有一个有效的IP的Windows Server 2008 R2,最近我发现在EventViewer中logging了数百个未知和奇怪的RDP成功login。 这里有一些细节:
支持人员不能帮助我,我很好奇这些奇怪的login是什么。 他们是某种暴力攻击吗? 那么为什么它读取“成功”? 我被黑客攻击了吗? 为什么他们不断地发生?
编辑:我喜欢再次指出,这些帐户不存在在服务器上。 我想知道为什么应该有一个不存在的用户帐户成功的RDPlogin。 (例如,没有用户configuration文件夹)
仅仅因为不存在用户目录并不意味着用户不存在。 检查MMC中的本地用户和服务帐户,以validation它们确实不存在。
这些症状通常是RDP蠕虫遍历networking的标志。 同时validation您正在运行的任何反恶意软件实用程序是否为最新并在该计算机上运行完整扫描。 如果有RDP蠕虫,并且login成功,那么很有可能您已经感染了病毒。
我有完全类似的问题,并重现结果我所要做的只是连接到远程机器使用rdp客户端没有networking级authentication(Ubuntu的rdp客户端),并input一个虚构的用户名。 我被提供了一个login屏幕,事件被logging在事件查看器中,作为远程桌面的成功validation。 然而,这是不可能的使用假想的帐户login。 如果有可能,我build议你打开远程桌面的networking级身份validation。
源networking地址应该让你知道这些连接来自哪里。 也许你可以更容易地解决问题。 确保您为RDP会话启用了安全性。 是的,这可能是你被黑客攻击。
啊,同样的事情在这里。 我解决了禁用公共访问RDP,只允许私人networking连接到服务器。 顺便说一句,只要您访问您的全新服务器,就推荐使用这种方法。