事件
这篇文章写得比较紧急,原因是近日,答主学院出了点状况,同学的服务器被黑客攻击,文件被加密,并被索要比特币。博主学校的实验室电脑还有服务器,都是只能在内部网登录的,经查也确实是校园网内部的电脑被当作肉鸡进行攻击。
查看自己主机是否被非法远程登录
搜索“事件查看器”,或者在“此电脑”图标上右击“管理”选项,在“事件查看器”中查看其中的“Windows 日志”。Windows 官方似乎没有事件ID的文档,这里可以根据这篇博客查看事件ID,我们记住4625是账号登录失败,4624是账号登录成功的ID就好了。
然后点击右边菜单选项“筛选当前日志”,键入4625的事件ID,查看同一时间段是否出现很多次登录失败的事件,注意这些事件时间自己是否没有使用其他远程设备。这里的原理是:肉鸡攻击的话,必定以穷举的方法,频繁尝试密码,因此密码越复杂就越难以攻破——比起字母数字的搭配形式,更重要的是位数要足够多。
可以看到,博主本人的电脑也是遭遇多次远程非法登录,而且是固定的每隔3分钟一次以规避被限制IP访问。点击详细的事件属性,可以看到,这些远程登录请求都是从同一个局域网内部地址发出的,目标用户名称都是ADMINSTRATOR,目的就是获得管理员权限进行操作。
如何防范这类远程攻击
最基础的就是关闭远程桌面访问,可在电脑设置中直接关闭。除此外还可以右键“此电脑”,选择“高级系统设置”,再选择最右端的“远程”,在其中关闭相关远程选项。
鉴于有些朋友在局域网内部,需要关闭 win 10 防火墙才能开启远程桌面连接,因此记得在关闭远程桌面连接权限后,也将 win 10 防火墙重新开启为宜。
一点小插曲
刚刚我们说了事件登录失败的情况,如果我们筛选4624登录成功的事件ID,会发现在我们没有进行相关操作的时间段,也有很多这类事件的存在。我们点击详细信息,可以发现,这些事件没有 IPAddress 属性,且 LogonGuid 属性为 {00000000-0000-0000-0000-000000000000}。查询相关 Windows 文档,是这么解释的:
当进程尝试通过显式指定帐户的凭据进行帐户登录时,将生成此事件。这最常发生在批处理类型的配置中,例如计划任务,或者在使用“RUNAS”命令时。它也是在正常操作系统活动期间定期发生的例行事件。
一些常见的子状态也可参考这篇文章:www.dell.com/support/kbd…
