公司使用的Windows电脑被入侵

1. 运行环境

我在公司使用的Windows电脑为了方便远程登录,打开了3389端口。由于我们的公司网络使用的是公网IP,我可以在家中远程登录到我的工作电脑。然而,今天我在公司工作时发现我的电脑被其他人登录,我被迫下线。我立即重新登录,并在Windows事件查看器中发现了一些不寻常的活动。

Laravel

Laravel

事件查看器显示,事件ID为4624的帐户登录事件每分钟触发了很多次,并且有很多次成功的登录。我还注意到了一个事件ID为5379的事件,这通常与用户凭据管理有关,表示可能有人尝试创建、读取、更新或删除凭据。但是,当我检查账户管理设置时,并未发现密码更改、新用户的创建或现有用户权限的更改。

Laravel

Laravel

在事件ID为4624的详细信息中,我注意到源网络地址每次都不一样,并且都是国外的代理。我开始怀疑我的电脑可能遭到了黑客的暴力破解攻击。但我想不明白的是,如果真的是黑客攻击,为什么我没有看到电脑的其他操作,比如修改密码,加密文件等。

想向专业的人士请教一下,理解这是怎么回事,并希望得到一些工具来扫描我电脑上可能存在的病毒文件。

《L03 构架 API 服务器》
你将学到如 RESTFul 设计风格、PostMan 的使用、OAuth 流程,JWT 概念及使用 和 API 开发相关的进阶知识。
《L01 基础入门》
我们将带你从零开发一个项目并部署到线上,本课程教授 Web 开发中专业、实用的技能,如 Git 工作流、Laravel Mix 前端工作流等。
讨论数量: 3

把日志事件全部导出出来,发出来,帮你看看

2周前 评论
微加加的朋友 (楼主) 2周前

建议先采取措施:关闭远程登录、重装系统。
以后对开放远程登录,还是要保持谨慎态度,做好足够的安全措施和有足够的安全意识。损失的仅仅是你的电脑还好,如果攻击者借助你的电脑作为跳板,攻击局域网内其他主机,给公司造成损失的话,你有很大的责任

2周前 评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!