23年12月底的时候,客户的一台在Hostease购买的Windows美国服务器客户投诉网站打不开,在登陆服务器检查问题的时候发现文件都被加密了,我也有几台在Hostease的服务器,一直都很稳定。不过这件事情想想也比较蹊跷,都23年了,居然还会中勒索病毒??!!
还好我们都会建议客户给重要的服务器顺带配备R1Soft服务器备份,前后差不多花了1天时间把整台服务器恢复到1周前没有被黑的状态。我买的R1Soft最多只保留一周的数据,不然服务器上的数据就没有了,也幸亏客户当时听我们的建议,购买了R1Soft备份,不然想想还有点后怕。
这个客户服务器是客户自己来做的系统配置,好在服务器被黑后,这个客户请我们协助他做了一些事后的恢复重建工作和安全加固,在排查中发现,客户的操作系统在配置的时候对于安全部分的疏忽导致了这一问题,近期也闲下来,整理了事情的全部过程,以及修复如何验证并解决的过程,因为内容较多,所以我们拆分几篇文章来说,本文主要来说明一下,如何查询Windows的登陆日志。
查询Windows的登陆日志
方法一
在Windows中,所有的登陆日志都会被记录在事件查看器当中,你可以通过下面的步骤来访问事件查看器:
1.在Windows系统中使用快捷键Win+R或者开始菜单打开“运行”程序
2.输入“eventvwr.msc”启动事件管理器
3.在左侧的“Windows日志”下找到“安全”,在右侧安全列表中就可以看到所有和安全有关的日志,我们可以通过下面的不同的事件ID代表找到不同的事件:
4624 - 帐户已成功登录
4625 - 帐户登录失败
4634 - 帐户被注销
4647 - 用户发起注销
4648 - 试图使用明确的凭证登录(可以查看远程登陆的相关信息,比如IP地址等)
登录失败的事件ID为4625,登陆成功的事件ID为4624和4648,你可以在下图步骤3中替换不同的ID找到Windows登陆的是日志和IP地址
当然你也可以通过下面的代码来快速获取登陆失败或者登陆失败的日期和IP,你也可以替换下面代码中的“Id=4625”来获取其他登陆状态的日期和IP
$StartTime = (Get-Date).AddDays(-1)
$AllEntries = Get-WinEvent -FilterHashtable @{ LogName='Security';StartTime = $StartTime;Id=4625}
$AllEntries | Foreach {$entry = [xml]$_.ToXml();[array]$Output += New-Object PSObject -Property @{TimeCreated = $_.TimeCreated;IPAddress = $entry.SelectSingleNode("//*[@Name='IpAddress']").innerxml}}
$Output | Select TimeCreated, IPAddress | Out-Host -Paging
输出的结果:
可以看到137.xxx.226.31结尾的服务器最近在频繁的登陆服务器,如果是已知设备,那么我们就可以去了解最近为何这个设备频繁的登陆,如果是位置的IP地址,那么我们可以在防火墙内将这个IP地址给Block掉。 接下去文章我们将分享如何将查询到的IP地址给Block掉。
如果我的文章对你在排查故障时有帮助,欢迎点赞关注。有问题欢迎私信或留言。
