在Windows Server 2008企业版上,没有什么变化,但最近在任务pipe理器中有很多csrss.exe , LogonUI.exe , svchost.exe和winlogon.exe进程。
这是否意味着某些远程会话处于活动状态(服务器已经泄露)或者是什么?
编辑:
我检查事件日志,似乎有人正在尝试使用Administrator用户login。 这似乎是一个自动化工具。 我如何防范(阻止黑客IP?)?
这里是日志:
An account failed to log on. ... Logon Type: 10 Account For Which Logon Failed: Security ID: NULL SID Account Name: Administrator Account Domain: ... Failure Information: Failure Reason: Unknown user name or bad password. Status: ... Sub Status: ... Process Information: Caller Process ID: ... Caller Process Name: C:\Windows\System32\winlogon.exe Network Information: Workstation Name: ... Source Network Address: ... Source Port: ... Detailed Authentication Information: Logon Process: NtLmSsp Authentication Package: NTLM Transited Services: - Package Name (NTLM only): - Key Length: 0 This event is generated when a logon request fails. It is generated on the computer where access was attempted. ...
logintypes10是远程交互式login,意味着某人正尝试通过RDPlogin。 你是否允许RDP通过防火墙连接到服务器?
许多Windows服务使用svchost.exe。 您可以查看您的services.msc节点来查看它们。 只需双击一些服务,如DHCP客户端或DNS客户端来查看Windows将启动服务的可执行文件。 如果您担心terminal服务或远程桌面连接,则可以转到任务pipe理器中的用户选项卡,查看是否有人正在login。当然,这只适用于Microsoft远程工具。