过多的远程桌面登录尝试

Question

使用IIS 8运行Windows 2012服务器。

Windows安全日志

这个日志显示了40,000次登录尝试在6小时内失败/每天超过160,000次。

示例数据

我的服务器IP地址*失败登录IP

TCP xxx.123:3389* 60.174.69.158:38578已建立

TCP xxx.122:3389** 100.38.123.93:64161已建立

TCP xxx.125:3389** 5.39.217.104:34567已建立

如何在服务器上找到远程桌面连接日志？

我检查了这个Stack Exchange链接DDOS攻击下的服务器，但它似乎是用于Linux的，因此日志引用不适用于IIS。

谢谢..。

Answer 1

溶液

来自微软的Yuk丁提供了这个Server：如何获取IP地址，它包含了一些用于记录我一直在寻找的登录IP地址的选项。

在我正在寻找的默认日志中，该信息似乎不可用。似乎必须创建一个事件侦听器来记录IP地址。

读取IP地址的

PowerShell脚本

SET logfile="rdp_ip_logs.log"
netstat -n | find ":3389" | find "ESTABLISHED">>%logfile%

@chaz提供了一个有用的PowerShell脚本来读取与失败的登录尝试单击此处相关联的IP地址。

Windows防火墙脚本阻止IP地址

我找到了一个非常有用的PowerShell脚本，用于自动执行在Windows中阻止IP地址的任务。剧本是杰森·福森写的。

以下是杰森的网站这里。

基于主机的Windows防火墙很容易通过脚本和NETSH.EXE命令行工具进行管理.本文介绍一个简单的PowerShell脚本，它可以创建规则来阻止对数千个IP地址和网络ID范围的入站和出站访问，例如针对攻击者和不需要的国家。要获得脚本，请从这里或从下载页面下载SEC505 zip文件，打开zip并查看名为Import Blocklist.ps1的脚本的"Day5-IPSec“文件夹(以及示例BlockList.txt文件)。和zip文件中的所有其他脚本一样，这个脚本是免费的，并且是公共域的。

集成脚本与C

我编写了一个C#程序来集成脚本，它将每天失败的160,000+登录减少到一小部分。

希望这个简短的文章/链接能为其他人提供一些帮助，帮助他们解决同样的问题。如果您有问题或问题，请与我联系。