電腦疑似遭到入侵 - 資安

我看it邦回答還滿多了~

因為自己也不熟這塊

雖然應該幫不上忙

剛剛看到你的這個問題

我自己也好奇了一下如果被別人連線了要怎麼查對方IP

google了一下 幾乎都是提到 event 4624

看到國外一篇文章講遠端桌面連線的追查IP

就順便分享一下

打開event log 到下列路徑
Applications and Services Logs -> Microsoft -> Windows ->
Terminal-Services-RemoteConnectionManager

篩選 event ID 1149 可以看到別人遠端桌面連線過來的IP

文章中還有其他的你可以看看有沒有幫助

http://woshub.com/rdp-connection-logs-forensics-windows/

自己試了一下的截圖

https://i.imgur.com/jmiG9pV.png

https://i.imgur.com/bLBtcot.png



※ 引述《icurious (衝)》之銘言：
: Hi 各位前輩:
: 主要狀況為:目前在公司工作時，時常會有重要郵件跳到垃圾桶，或是檔案被更改儲存位
: 置甚至遭到刪除，甚至檔案被無預警關閉，一開始以為是自己誤動作，但偶然去
: windows 事件紀錄簿查詢log file，發現再出現異常狀況時候都會有如同網路文章中所註
: 記: 遠端讀寫C$, D$, E$..的事件(Security Event ID 5140)，但是回頭查詢4624的網路
: 登入資訊在那個時間點卻沒有 登入型別為10（遠端互動），實在難以找到對方IP，推
: 測估計對方為公司同區域網路內人員，不知用什麼方式入侵我主機(ex:在D槽安裝後門程
: 式 或是 C槽有隱藏帳戶?)，已經換過密碼，也查詢過帳戶，沒有可以之處，不知前輩
: 們是否可以給予建議，在電腦如何設定可以找到對方IP，或是推薦同業可以處理分析此問
: 題的 單位 或 人員 或網站，再麻煩IT前輩們幫忙，謝謝。(推文或是回信都可以)
: (我這邊有windows 登入事件紀錄檔案，以及windows遠端讀寫事件紀錄檔案，
: 若是前輩需要可以來信給我，我再寄給前輩們，謝謝。([email protected])
: 附件1為今日(7/28)下午遠端讀取紀錄(約在下午4:50，如下圖1)
: (縮圖網址被判定為廣告，來信提供給您)
: 回頭對照附件2的4624登入紀錄(如下圖2)，我也看不出所以然，還煩請幫忙分析，謝謝。
: (縮圖網址被判定為廣告，來信提供給您)

--