公司使用的Windows电脑被入侵

1. 运行环境

我在公司使用的Windows电脑为了方便远程登录,打开了3389端口。由于我们的公司网络使用的是公网IP,我可以在家中远程登录到我的工作电脑。然而,今天我在公司工作时发现我的电脑被其他人登录,我被迫下线。我立即重新登录,并在Windows事件查看器中发现了一些不寻常的活动。

Laravel

Laravel

事件查看器显示,事件ID为4624的帐户登录事件每分钟触发了很多次,并且有很多次成功的登录。我还注意到了一个事件ID为5379的事件,这通常与用户凭据管理有关,表示可能有人尝试创建、读取、更新或删除凭据。但是,当我检查账户管理设置时,并未发现密码更改、新用户的创建或现有用户权限的更改。

Laravel

Laravel

在事件ID为4624的详细信息中,我注意到源网络地址每次都不一样,并且都是国外的代理。我开始怀疑我的电脑可能遭到了黑客的暴力破解攻击。但我想不明白的是,如果真的是黑客攻击,为什么我没有看到电脑的其他操作,比如修改密码,加密文件等。

想向专业的人士请教一下,理解这是怎么回事,并希望得到一些工具来扫描我电脑上可能存在的病毒文件。

《L05 电商实战》
从零开发一个电商项目,功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等
《L04 微信小程序从零到发布》
从小程序个人账户申请开始,带你一步步进行开发一个微信小程序,直到提交微信控制台上线发布。
讨论数量: 3

建议先采取措施:关闭远程登录、重装系统。
以后对开放远程登录,还是要保持谨慎态度,做好足够的安全措施和有足够的安全意识。损失的仅仅是你的电脑还好,如果攻击者借助你的电脑作为跳板,攻击局域网内其他主机,给公司造成损失的话,你有很大的责任

10个月前 评论

把日志事件全部导出出来,发出来,帮你看看

10个月前 评论
微加加的朋友 (楼主) 10个月前

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!