Re: [問題] 電腦疑似遭到入侵

看板NetSecurity (資安 資訊安全)作者 (壞貓咪)時間4年前 (2020/07/31 00:49), 編輯推噓1(100)
留言1則, 1人參與, 4年前最新討論串2/2 (看更多)
我看it邦回答還滿多了~ 因為自己也不熟這塊 雖然應該幫不上忙 剛剛看到你的這個問題 我自己也好奇了一下如果被別人連線了要怎麼查對方IP google了一下 幾乎都是提到 event 4624 看到國外一篇文章講遠端桌面連線的追查IP 就順便分享一下 打開event log 到下列路徑 Applications and Services Logs -> Microsoft -> Windows -> Terminal-Services-RemoteConnectionManager 篩選 event ID 1149 可以看到別人遠端桌面連線過來的IP 文章中還有其他的你可以看看有沒有幫助 http://woshub.com/rdp-connection-logs-forensics-windows/ 自己試了一下的截圖 https://i.imgur.com/jmiG9pV.png
https://i.imgur.com/bLBtcot.png
※ 引述《icurious (衝)》之銘言: : Hi 各位前輩: : 主要狀況為:目前在公司工作時,時常會有重要郵件跳到垃圾桶,或是檔案被更改儲存位 : 置甚至遭到刪除,甚至檔案被無預警關閉,一開始以為是自己誤動作,但偶然去 : windows 事件紀錄簿查詢log file,發現再出現異常狀況時候都會有如同網路文章中所註 : 記: 遠端讀寫C$, D$, E$..的事件(Security Event ID 5140),但是回頭查詢4624的網路 : 登入資訊在那個時間點卻沒有 登入型別為10(遠端互動),實在難以找到對方IP,推 : 測估計對方為公司同區域網路內人員,不知用什麼方式入侵我主機(ex:在D槽安裝後門程 : 式 或是 C槽有隱藏帳戶?),已經換過密碼,也查詢過帳戶,沒有可以之處,不知前輩 : 們是否可以給予建議,在電腦如何設定可以找到對方IP,或是推薦同業可以處理分析此問 : 題的 單位 或 人員 或網站,再麻煩IT前輩們幫忙,謝謝。(推文或是回信都可以) : (我這邊有windows 登入事件紀錄檔案,以及windows遠端讀寫事件紀錄檔案, : 若是前輩需要可以來信給我,我再寄給前輩們,謝謝。(icuriousthisworld@gmail.com) : 附件1為今日(7/28)下午遠端讀取紀錄(約在下午4:50,如下圖1) : (縮圖網址被判定為廣告,來信提供給您) : 回頭對照附件2的4624登入紀錄(如下圖2),我也看不出所以然,還煩請幫忙分析,謝謝。 : (縮圖網址被判定為廣告,來信提供給您) -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.194.180.53 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1596127769.A.3DD.html

07/31 12:23, 4年前 , 1F
這很有幫助,謝謝
07/31 12:23, 1F
文章代碼(AID): #1V8lePFT (NetSecurity)
討論串 (同標題文章)
文章代碼(AID): #1V8lePFT (NetSecurity)