精华内容
下载资源
问答
  • 查看服务器被远程登录的事件

    万次阅读 2018-03-20 11:55:10
     WINDOWS服务器具备登录日志功能,下面记录一下如何查看服务器远程登录日志。 1.控制面板——管理工具——事件查看器——Windows日志——安全——右键“筛选当前日志”  2008或者2012输入 事件ID:**** 可以...

            由于在项目开发过程中,不少人接触到服务器登录密码,必要时候要收回密码,确保服务器的安全。

            WINDOWS服务器具备登录日志功能,下面记录一下如何查看服务器的远程登录日志。

    1.控制面板——管理工具——事件查看器——Windows日志——安全——右键“筛选当前日志”

            2008或者2012输入 事件ID:**** 可以查看远程登录的记录

            如ID:4624 是登录类别事件

            ID:4672是特殊登录类别事件

            ID:4776是凭据验证类别事件

    每一个事件都有详细信息,点击即可,详细信息里面登录的IP,还有一个LogonType:

     

            输入事件ID:1102,可以查看删除日志的记录。

     

    2.在CMD下面输入  netstat,可以查看目前的连接情况,也可以看到远程连接的IP

     

     

    展开全文
  • 接着我开始考虑服务器安全方面的问题,第一步就是远程登录的登录记录问题。   一、利用系统日志查看登录信息 打开控制面板——系统和安全——查看事件日志,就进入了事件查看器 打开左侧事件查看器(...

    前两天我的一台Windows Server 2012R2的服务器中了传说中的cryptowall病毒,所有数据文件都被加密,需要我支付1个比特币才能解码。幸好服务器上没什么重要的文件,还好我没钱,我选择回滚。

    接着我开始考虑服务器安全方面的问题,第一步就是远程登录的登录记录问题。

     

    一、利用系统日志查看登录信息

    打开控制面板——系统和安全——查看事件日志,就进入了事件查看器

    打开左侧事件查看器(本地)——Windows日志——安全,就能查看所有安全日志

    点击右侧筛选,筛选事件ID为4776的所有事件,即为所有远程登录日志

    可以看到我的日志中有他人登录,而且他还创建了登录账户User1

     

    二、记录登录信息

    上述查看方法并不能查看到对方的ip,为了查看到ip需要进行一些设置

    假设在C盘RDP文件夹下进行操作:

    1、创建空文件RDPlog.txt。创建批处理文件RDPlog.bat,写入代码

    2、在管理工具中打开计划任务,新建计划任务,在触发器选项中新建“当连接到用户会话时”,在操作选项中新建操作,设置程序为C:\RDP\RDPlog.bat,起始于C:\RDP\

    这样在远程登录后就会将登录的时间和ip记录在RDPlog.txt文件中。

    但是有一个问题,会在登陆后跳出一个一闪而过的cmd窗口,要消除这个窗口,就再新建一个脚本RDPlog.vbs,写入代码

    将计划任务程序设置为C:\RDP\RDPlog.vbs即可,如下

     

    试着登录两次后结果如下图

     

    展开全文
  • 系统出现了个挖矿的docker容器,删除了但忽略了(根源在此,docker容器的远程端口没有认证,出现了问题) 执行sudo或htop命令输出奇怪字符 执行touch等创建文件命令,生成的文件读写权限很奇怪 问题探索: 开始...

    问题发现:

    • 系统出现了个挖矿的docker容器,删除了但忽略了(根源在此,docker容器的远程端口没有认证,出现了问题)
    • 执行sudo或htop命令输出奇怪字符
    • 执行touch等创建文件命令,生成的文件读写权限很奇怪

    问题探索:

    • 开始以为是sudo、bash或htop的问题
      • 使用strace跟踪调用发现了奇怪的write(1, "\210$\255\373", 4)
      • 查看htop、sudo等对应版本源码,发现可能是某些系统lib的问题
    • 意识到是共享库出问题了
    • 然后发现用touch后其他创建的文件的权限(chmod的读写执行权限)很奇怪
      • 调查touch源码没有发现异常
      • 用C写了个open创建文件的代码发现文件的权限始终是002,无论如何都改不了
      • 在另一个同样操作系统上对比同样代码的strace,发现有不一样的open(... /usr/lib/libc.so.9)系统调用
    • 意识到可能是这个libc.so.9的问题
      • 查看该文件发现是最近创建的,确定就是它的问题
      • 一直在查看sshd的日志,发现这个文件创建时有root的登录操作

    原因探索:

    • /usr/lib/libc.so.9删除后,命令执行的时候都会报一个错误,和/lib64/libacl.so相关,感觉问题不大就先,没处理
    • 第二天发现删除的文件又回来了!查看日志发现文件回来的时间(创建时间)有一个docker容器启动了,docker container ls -a查看果然看到了一个容器,然后意识到可能是docker的远程端口漏洞,结果发现Docker远程端口2375没有任何认证
    • 至此大概知道问题根源:Docker远程端口被利用,挂载了系统文件并将公钥写到ssh中,同时启动了容器执行挖矿脚本,并创建了有问题的动态库/lib64/libacl.so -> /usr/lib/libc.so.9,导致程序执行异常

    加固:

    • 将ssh的Root登录禁用
    • 使用fail2ban加固系统,防止ssh爆破
    展开全文
  • 事件查看器 → Windows 日志 → 安全 ...windows server 2008 R2事件查看器打开方式 :计算机 右键 → 管理 → 服务器管理器 → 诊断 →事件查看器 打开事件查看器的快捷方式:在命令行输入:eventvwr) 在【安...

    事件查看器 → Windows 日志 → 安全 

    (win7 事件查看器 打开方式 :计算机 右键   → 管理  → 计算机管理 → 系统工具 → 事件查看器 

    windows server 2008 R2  事件查看器 打开方式 :计算机 右键   → 管理  → 服务器管理器 → 诊断 → 事件查看器

    打开事件查看器的快捷方式:在命令行输入:eventvwr)

     

    在【安全】类型的事件日志页面右侧 选择 【筛选当前日志】,在<所有事件ID>输入框中输入4648,过滤出来的即为计算机的登录信息。接下来就在登录事件中筛选远程登录的日志了。

    转载于:https://www.cnblogs.com/doseoer/p/5806166.html

    展开全文
  • 在12月1号,玩redis时连接的远程一台腾讯云服务器, xhsell连接明显有卡顿,强制重启了下服务器,结果连系统都不能正常启动, ssh服务更别说了,于是重装了下系统, 用的root用户重新安装了一下redis,今天发现每过一段时间,...
  • 二:打开电脑,终端连接服务器,发现登录不进去,第一反应,远程连接密码修改,登录阿里云控制台,修改服务器实例密码,重启服务器,重新连接服务器; 1.登录后,首先查看服务器操作日志: 很显然,是清理了...
  • 事件查看器 → Windows ...windows server 2008 R2事件查看器打开方式 :计算机 右键 → 管理 → 服务器管理器 → 诊断 →事件查看器 ) 在【安全】类型的事件日志页面右侧 选择 【筛选当前日志】,在<所有事...
  • 最近租了一个阿里云服务器,想用mac的Finder远程连接下,但是折腾了好久。。。弄了一个下午,终于成功,简单记录下。...没有安装samba的服务器,不能访问,刚申请的服务器是没有安装samba查看安装情况:rpm -qa|gre
  • 远程登录服务器,切换到root。查看后台进程,除了我的ssh,竟然还有8080 建立了连接 我去,摆明了欺负我嘛。先断了再说,查询IP是来此瑞典的,我去跨洋日服务器,牛逼。 我去怎么还有个 27的ip,ssh登录。 我去从...
  • 服务器 Windows Server 2008 没有做任何更新操作  突然通过桌面远程不了 登录阿里云管理后台进行远程 ...发觉里面相关组件并没有...查看360日志 发觉有拦截记录,于是怀疑是360杀毒引起,退出重启后,远程恢复
  • 服务器被拿下了

    2012-11-19 12:51:27
    [size=medium]前几天要远程登录到一... 首先用taskkill强制杀掉这些进程,然后系统反应就正常多了,查看系统日志,是头一天晚上人拿下的,mysql和web服务日志都有记录,系统服务列表里有两三个不知名的服务在跑,I...
  • 服务器的日记就是记录网站访问的全过程,什么时间到什么时间有哪些人来过,什么搜索引擎来过,有没有收录你的网页。从你的网站工作的第一天你的日记就有了。 如何查看自己的服务器的日记? (以Windows 2003系统为...
  • 首先,运行开发服务器: npm run dev # or yarn dev 用浏览器打开以查看结果。 您可以通过修改pages/index.js来开始编辑页面。 页面在您编辑文件时自动更新。 可以在上访问。 可以在pages/api/hello.js编辑此...
  • Tomcat 远程调用/远程调试 序: ...查看端口号是否占用:lsof -i:端口号 vi catalina.sh 打开catalina.sh文件 输入 i 进入编辑模式 添加代码块 按下 ESC 输入:wq!保存退出 JAVA_OPTS=$JAVA_OPTS
  • 80端口好像攻击了,一开web服务器就有很多IP,很多进程序访问那个80端口,在360流量查看器上可以查看500多个进程序在访问80端口,弄得网站打不开,网速很慢。一关web服务器网速变快,把80端口改为8008,网站就...
  • 服务器日志

    2009-12-17 17:13:00
    日志按照内容分为三类,双击每条日志即可查看详情。应用程序:主要是记载服务器上面软件程序运行方面的一些事件。安全性:主要是记载服务器用户登录的情况。系统:主要是记载服务器系统程序运行状况。下面分别举例...
  • 特殊说明下,使用软件开启自带的远程桌面模式时,360可能会提示“有程序正在记录你的键盘输入”,这是远程桌面窗口自身行为,正常,不然你敲键盘服务器里做不了相应反应了。你也可以打钩【调用系统自带】项,调用...
  • 今天在尝试使用阿里云云服务器,之前一直用的都是腾讯云,但是出现了好几次远程连接mysql后数据爆破导致消失,听朋友说阿里云似乎安全性会好一点,就想着尝试一下用阿里云。而在安装配置mysql的时候出现了Navicat...
  • 基于NodeJS的基于云的远程android管理套件 特征 GPS记录 麦克风录音 查看联络人 短信日志 发送短信 通话记录 查看已安装的应用 查看存根权限 实时剪贴板记录 实时通知记录 查看WiFi网络(以前看到的日志) 文件...
  • 应用于为客户做远程技术支持、远程服务器管理、和公司分支机构或门店的远程运维和通讯。   远程控制:查看或控制远程电脑、邀请对方查看或控制我的电脑。 帐号、授权码访问机制,可在远程电脑前无人的情景下使用...
  • 近日接到客户求助,他们...查看/var/log下的日志,发现大部分日志信息已经清除,但secure日志没有破坏,可以看到大量SSH登录失败日志,并存在root用户多次登录失败后成功登录的记录,符合暴力破解特征 通过查看
  • 晚上看到有台服务器流量跑的很高,明显和平常不一样,流量达到了800Mbps,第一感觉应该是中木马了,人当做肉鸡了,在大量发包。 我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面有...
  • 远程连接不上SQLSERVER

    2008-10-27 12:30:47
    如果不行,请检查网络,查看配置,当然得确保远程sql server 2000服务器的IP拼写正确。 二.在Dos或命令行下输入telnet 服务器IP 端口,看能否连通。 如telnet 202.114.100.100 1433 通常端口值是1433,因为1433是...
  • 昨天做的测试服务器做好了,可是今天早晨一来到公司发现改了。所以看到门户网站改时,你一定要查找真凶,做福尔摩斯。运维歌谣第一章哪吒闹海之奔波霸儿linux查看用户登陆历史记录查看某用户 cat /home/username...
  • 要运行PingMonitor,您需要安装Python(版本3.x),并使用HTML客户端查看记录的ping数据,您需要运行具有PHP支持的HTTP服务器(例如nginx或xampp或其他任何形式) 配置 修改pingmonitor.py的: ping定位那些将...
  • Linux服务器入侵预防与问题排查

    千次阅读 2018-03-24 12:26:31
    弱口令入侵检查 有时候由于服务器系统账户存在弱口令的原因很容易黑客破解或是一些入侵工具入侵,用last命令用来列出目前与过去登录系统的用户相关信息,以下用查看恶意的入侵记录,其中第一列:用户名第二列:...
  • 阿里云centos7 服务器XorDDoS木马查杀

    千次阅读 2018-07-09 01:01:55
    一、问题描述2018年6月份,阿里云搞活动大促销,本人花了298元... 通过阿里云管理控制台查看服务器被IP107.179.35.251(美国加利福尼亚州)SSH暴力破解了,并且存在异常的远程登录记录。二、异常现象初定位通过Xshe...

空空如也

空空如也

1 2 3 4 5 ... 16
收藏数 304
精华内容 121
关键字:

服务器查看被远程记录