This topic created in 1861 days ago, the information mentioned may be changed or developed.
Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational 140
Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational 1149
这两个的日志全没了,但是看了下 FRP 差不多 100MB 的尝试连接日志。
2021/03/23 05:49:01 [D] [proxy.go:273] [dd37c9ec8dfa7c28] [RDP_TCP] join connections, workConn(l[*.*.*.*:2] r[10.0.0.10:64790]) userConn(l[*.*.*.*:50101] r[185.202.1.98:42468])
2021/03/23 06:01:40 [D] [proxy.go:273] [dd37c9ec8dfa7c28] [RDP_TCP] join connections, workConn(l[*.*.*.*:2] r[10.0.0.10:64790]) userConn(l[*.*.*.*:50101] r[27.224.137.146:54862])
100MB 的日志全是 185.202.1.98 这个 IP 弄的,但在最后突然换成了 27.224.137.146 这个 IP,然后所有爆破戛然而止。
有没有可能是 win 日志自动清除了?比如更新(我前两天更新过一次系统)。但 安全、系统这类日志还在。
Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational 1149
这两个的日志全没了,但是看了下 FRP 差不多 100MB 的尝试连接日志。
2021/03/23 05:49:01 [D] [proxy.go:273] [dd37c9ec8dfa7c28] [RDP_TCP] join connections, workConn(l[*.*.*.*:2] r[10.0.0.10:64790]) userConn(l[*.*.*.*:50101] r[185.202.1.98:42468])
2021/03/23 06:01:40 [D] [proxy.go:273] [dd37c9ec8dfa7c28] [RDP_TCP] join connections, workConn(l[*.*.*.*:2] r[10.0.0.10:64790]) userConn(l[*.*.*.*:50101] r[27.224.137.146:54862])
100MB 的日志全是 185.202.1.98 这个 IP 弄的,但在最后突然换成了 27.224.137.146 这个 IP,然后所有爆破戛然而止。
有没有可能是 win 日志自动清除了?比如更新(我前两天更新过一次系统)。但 安全、系统这类日志还在。
Supplement 1 Mar 23, 2021
11:58 他又在攻击了(不会是他看到了帖子在唬我吧)。
我看了下,win 默认只保存 1028KB 日志,会覆盖旧的日志.......
我看了下,win 默认只保存 1028KB 日志,会覆盖旧的日志.......
Supplement 2 Jun 25, 2021
日志被清空是正常现象,每个子事件都是单独的缓存大小,超过就自动删除了。
4 replies 2021-03-23 14:54:21 +08:00
 | 1 Osk Mar 23, 2021 via Android Windows 没事清空你的日志干嘛呢。。。 而且刚好是这两个日志,所以我觉得结论已经很明显了。 |
 | 2 yushuda Mar 23, 2021 secpol.msc 里边审核登录事件默认是不审核的吧... 你自己找个机器连一下看看有日志么。 |
 | 3 toomlo Mar 23, 2021 爆破成功的情况有两种: 1.弱口令爆破成功,这种情况有可能是挖矿黑客批量扫描的 2.强密码爆破成功,这种情况的前提是你的其他资产可能也被黑,发现了明文密码后,黑客组合了密码爆破成功 更应该谨慎的是第二种情况,这意味着你家能被盯上了~~~ |
 | 4 Overfill3641 OP @toomlo 我开始也是认为密码泄露或者对方用漏洞破解了。纯爆破是不怕的,十年后也许能成功。 |
Select Language