windows系统 3389远程监控登录信息(记录IP)

最新推荐文章于 2024-03-05 10:23:58 发布
最新推荐文章于 2024-03-05 10:23:58 发布 · 2.5k 阅读 · 4
文章标签:

#Windows #IIS #C #C++ #C#

本文介绍了一种通过批处理脚本自动记录通过3389端口连接的登录者的IP地址及时间的方法,并提供了一个Java类用于从IIS日志中筛选特定IP的请求记录。

得把这些凌乱记录下来,以免再次需要时找得头破血流。。。

虽然有点忙羊补牢的味道,但总比被入侵后无计可施,无处可跟踪好。。

通过对IP记录,接合系统登录日志分析,抽取入侵者IP后,就可以更好对IIS日志进行过滤分析了。

 

1,找一隐秘地方新建一个文件夹(避免灰客们乱窜发现日志),比如C:\windows\b_log(文件夹新建),在文件夹下新建一批处理文件3389log.bat,内容如下:

@echo off
date /t >>C:\WINDOWS\b_log\3389log.log
time /t >>C:\WINDOWS\b_log\3389log.log
netstat -an | find ":3389" | find "ESTABLISHED" >> C:\WINDOWS\b_log\3389log.log

 2,开始--》运行-->命令gpedit.msc进入策略管理编辑器

 3,用户配置--》Windows配置--》脚本--》属性登录--》添加

 4,在脚本名上填入新建的批处理3389log.bat文件就可以了。

 

OK,当启动时候,无知觉中登录者IP和时间就被记录下了。。。

 

附带一个IIS日志过滤类:

public class IISLog {

	public static void main(String[] args) {
		String log_content = readFileByString("E:\\IISLOG\\ex100429.log", "222.73.173.11", ".jpg,.gif,.png");
		//FileOperate.writeToFile(log_content, "E:\\IISLOG\\29_001.txt"); 输出文件,
		System.out.println(log_content );
		System.out.println("completed");
	}
	
	/**
	* 以行为单位进行内容提取
	*	contain  包含字符则提取
	*	uncontain  包含字符则排除  优先于contain	
       */
	public static String readFileByString(String path, String contain, String uncontain) {
		StringBuffer buffer;
		try {
			File file = new File(path);
			BufferedReader br = new BufferedReader(new FileReader(file));
			buffer = new StringBuffer();
			String line = br.readLine();
			while (line != null) {
				boolean invalid = false;
				boolean availability = false;
					for(String u : uncontain.split(",")) {
						if (line.indexOf(u) > -1) {
							invalid = true;
							break;
						}
					}
				if (!invalid)
					for(String c : contain.split(",")) {
						if (line.indexOf(c) > -1) {
							availability = true;
							break;
						}
					}
				if (availability) {
					buffer.append(line);
					buffer.append("\n");
				}
				line = br.readLine();
			}
			br.close();
		} catch (Exception e) {
			e.printStackTrace();
			return null;
		}

		return buffer.toString();
	}
}
清除3389远程连接记录
03-26
清除3389远程连接记录是一个很好的工具哦。
windows服务器记录3389远程桌面IP策略
09-30
本文将详细介绍如何在Windows服务器上实现一项策略,该策略能够记录所有通过端口3389远程桌面连接,并记录这些连接的源IP地址和其他相关信息。此方法不仅可以帮助管理员追踪潜在的安全威胁,还可以作为合规性的...
记录3389端口登录日志-windows随手记
qq_32390591的博客
12-07 5769
3389windows远程登录默认端口号,可以通过运行:mstsc,输入账号密码后登录远程登录日志记录
批处理 windows 3389登录 记录ip地址
kaozjlin的专栏
06-23 520
脚本内容如下: @echo off for /f %%i in ('date /t') do ( set mydate=%%i ) for /f %%j in ('time /t') do ( set mytime=%%j ) echo 登录日期:%mydate% %mytime% >>RDPlog.txt echo 登录用户名:...
服务器3389信息,服务器3389远程记录查看
weixin_39630771的博客
08-11 592
服务器3389远程记录查看 内容精选换一换当您想在Internet上通过域名访问您的网站时,可以通过本操作将域名托管至华为云的云解析服务,并为域名添加解析记录。例如,搭建一个网站服务器,采用IPv4格式的弹性IP地址。如果想要实现通过域名“example.com”及其子域名“www.example.com”访问该网站,需要配置如下解析记录:A:添加域名“example.com”到当您想在Inter...
服务器远程桌面日志,Windows记录远程桌面3389登录日志
weixin_32457141的博客
07-30 4537
如何查看自己的windows服务器有没有其他人登录了呢?什么时候登录的?由于Windows远程桌面是没有日志记录功能的,所以本文分别讲述如何在windows2008和windows2003中设置远程桌面3389登录日志。一、监控windows 2008R2远程登录情况:1、先建立存放日志的目录,如c:\RDP2、在其目录下建立一个名为RDPLog.bat的批处理文件,内容为:@echo of...
精选资源
JProfiler在Windows可视化远程监控Linux上Tomcat进程的安装步骤.pdf
05-11
本文档详细介绍了在Windows操作系统下通过JProfiler可视化远程监控运行在Linux操作系统上的Tomcat应用服务器进程的具体步骤。 **知识点一:JProfiler概述** - JProfiler是一个集成了多种分析技术的Java剖析工具,它...
记录每次进入远程桌面IP.rar_basisxqg_批处理_记录每次进入远程桌面IP
09-22
标题中的“记录每次进入远程桌面IP.rar_basisxqg_批处理_记录每次进入远程桌面IP”揭示了这个压缩包包含的内容是关于一个批处理脚本(batch script),该脚本设计用于记录每一次通过远程桌面协议(Remote Desktop ...
基于JAVA CS远程监控系统软件的实现(源代码+论文).rar
04-14
Java CS远程监控系统是一种采用客户端-服务器(Client-Server,CS)架构的软件应用,它允许用户通过网络对远程设备或系统进行实时监控。在Java技术的支持下,这种系统能够跨平台运行,提供稳定且高效的远程监控解决...
windows登录日志统一记录
03-25
首先,3389端口是Windows远程桌面服务(RDP,Remote Desktop Protocol)的标准端口,用于用户通过网络连接到远程计算机。监控这个端口的登录记录有助于识别未经授权的访问尝试,保护系统安全。 在Windows中,登录...
远程桌面的连接登录日志记录
10-19
使用2003的远程桌面功能,可以创建登陆日志记录文件。
监视3389登陆的脚本
weixin_33978016的博客
07-28 138
当有远程主机通过3389登陆服务器时,如何发现并记录呢?下面这个脚本可以帮助我们。 脚本:date /t >>RDPlog.txt             time /t >>RDPlog.txt             netstat -n -p tcp | find ":3389">>RDPlog.txt 把上面的这三句保存为bat文件,在计划任务中设为...
windows 2003 server 记录远程桌面的连接登录日志和修改3389连接端口方法
cnbird's blog
07-28 6160
http://hi.baidu.com/cpucn/blog/item/f14f58db40654c6fd1164e42.html A。记录远程桌面的连接登录日志1、在一个位置上建立一个存放日志和监控程序的目录,比如我在C盘下建立一个RDP的目录    2、在其目录下建立一个名为RDPlog.txt的文本文件 3、在其目录下建立一个名为RDPlog.bat的批处
windows系统查看远程登录IP地址
最新发布
riwen_01的博客
03-05 7306
点击“筛选当前日志”,然后在输入id(id为4648),点击确定即可。方法二:通过powershell脚本收集IP地址和登录信息。2. 选择“Windows日志”-“安全”查看日志常规信息,就能看到IP地址。1. 打开“事件查看器”
黑客口述:我的第一台3389肉鸡的经历(转)
cuankuangzhong6373的博客
03-22 5013
条件:破机器一个,坏蛋一个(本人),破电信ADSL2M,垃圾时间N多   ‘()’里面的全是以后知道的,做个注解吧!   菜鸟获取肉鸡,现在好象都是扫描4899。sa口令等,其实这样很不好,为什么呢?大家的网络都不是特别好,基本...
删除服务器远程桌面痕迹,清除3389连接后留下的日志,清除3389远程桌面连接记录...
weixin_32512261的博客
07-31 3832
如果我们从一开始打开目标网站开始计算,直到最后断开连接,会在服务器的哪些地方留下日志呢?以Windows2000为例:一.WWW日志,也就是网站日志,位于服务器的%systemroot%system32logfilesw3svc1目录,默认是每天一个日志,记录游客访问网站时的IP地址、动作以及操作系统版本等信息。如果我们通过SQL注入来猜解网站管理员密码,那么管理员通过对网站日志的检查,很容易就能...
tcp/ip面试
Faith的博客
07-06 527
TCP/IP协议的工作流程如下: ●在源主机上,应用层将一串应用数据流传送给传输层。 ●传输层将应用层的数据流截成分组,并加上TCP报头形成TCP段,送交网络层。 ●在网络层给TCP段加上包括源、目的主机IP地址的IP报头,生成一个IP数据包,并将IP数据包送交链路层。 ●链路层在其MAC帧的数据部分装上IP数据包,再加上源、目的主机的MAC地址和帧头,并根据其目的MAC地址,将MAC帧发
清除3389远程桌面连接记录的批处理
weixin_30878501的博客
04-15 762
@echo off @reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f @del "%USERPROFILE%\My Documents\Default.rdp" /a @exit /va 删除项下面所有键值 /f不提示 ...
利用3389端口监视管理员登录
weixin_30254435的博客
06-04 215
这里要用到 可以在角色里面安装 终端服务配置 双击 选择环境 管理员进行3389登录时 执行1.bat 文件 也可以是一个恶意的exe bat 里面写 @echo offdate /t>>log.txt 获取日期time /t >>log.txt 获取时间netstat -n -p tcp |find ":3389">&gt...
远程登录监控:记录并追踪IP与MAC地址信息
远程登录系统的管理是网络安全管理中的重要一环,尤其是对于服务器和关键基础设施的控制。黑客经常利用远程登录的漏洞来侵入系统,窃取信息或造成破坏。因此,记录远程登录者的信息是实现有效安全防护的关键措施之一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值