為什麼這篇遠端桌面入侵鄉民發文收入到精華區:因為在遠端桌面入侵這個討論話題中,有許多相關的文章在討論,這篇最有參考價值!作者wavek (壞貓咪)標題Re: [問題] 電腦疑似遭到入侵時間Fri Jul 31 00:49...
我看it邦回答還滿多了~
因為自己也不熟這塊
雖然應該幫不上忙
剛剛看到你的這個問題
我自己也好奇了一下如果被別人連線了要怎麼查對方IP
google了一下 幾乎都是提到 event 4624
看到國外一篇文章講遠端桌面連線的追查IP
就順便分享一下
打開event log 到下列路徑
Applications and Services Logs -> Microsoft -> Windows ->
Terminal-Services-RemoteConnectionManager
篩選 event ID 1149 可以看到別人遠端桌面連線過來的IP
文章中還有其他的你可以看看有沒有幫助
http://woshub.com/rdp-connection-logs-forensics-windows/
自己試了一下的截圖
https://i.imgur.com/jmiG9pV.png
https://i.imgur.com/bLBtcot.png
※ 引述《icurious (衝)》之銘言:
: Hi 各位前輩:
: 主要狀況為:目前在公司工作時,時常會有重要郵件跳到垃圾桶,或是檔案被更改儲存位
: 置甚至遭到刪除,甚至檔案被無預警關閉,一開始以為是自己誤動作,但偶然去
: windows 事件紀錄簿查詢log file,發現再出現異常狀況時候都會有如同網路文章中所註
: 記: 遠端讀寫C$, D$, E$..的事件(Security Event ID 5140),但是回頭查詢4624的網路
: 登入資訊在那個時間點卻沒有 登入型別為10(遠端互動),實在難以找到對方IP,推
: 測估計對方為公司同區域網路內人員,不知用什麼方式入侵我主機(ex:在D槽安裝後門程
: 式 或是 C槽有隱藏帳戶?),已經換過密碼,也查詢過帳戶,沒有可以之處,不知前輩
: 們是否可以給予建議,在電腦如何設定可以找到對方IP,或是推薦同業可以處理分析此問
: 題的 單位 或 人員 或網站,再麻煩IT前輩們幫忙,謝謝。(推文或是回信都可以)
: (我這邊有windows 登入事件紀錄檔案,以及windows遠端讀寫事件紀錄檔案,
: 若是前輩需要可以來信給我,我再寄給前輩們,謝謝。([email protected])
: 附件1為今日(7/28)下午遠端讀取紀錄(約在下午4:50,如下圖1)
: (縮圖網址被判定為廣告,來信提供給您)
: 回頭對照附件2的4624登入紀錄(如下圖2),我也看不出所以然,還煩請幫忙分析,謝謝。
: (縮圖網址被判定為廣告,來信提供給您)
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.194.180.53 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1596127769.A.3DD.html