用登录安全审核记录黑客踪迹
网络安全
人在网上漂,哪又不挨刀。不过如果自己挨了刀却没有察觉那就太郁闷了。经过多次测试,我发现用好登录安全审核就可以知道自己到底被黑过没有了。
我这里用宿舍哥们的机子作“肉鸡”,用3389远程登录。然后在“运行”中输入gpedit.msc进入组策略,打开审核登录事件,再来测试一下登录安全审核会记录什么。
测试1:我在离开时选择“开始→关机→断开”,再来看看审核的结果(图1),可以发现事件记录了登录者完整的IP地址和用户名,各位小黑们小心被人叫去喝茶。
小提示:正确的方法是在离开“肉鸡”时 选择“开始→关机→注销”,“肉鸡”日志里只记录了事件,没有记录登录者的IP地址和用户名,这样比较安全。
测试2:登录时如果登录密码打错了,登录审核会记录些什么?我看见安全审核中有两个审核日志,第一个日志里面没有什么有用的内容。
但第二个审核事件,就叫登录者不那么好过了(图2),里面包含了登录者的用户名,用命令“Ping 用户名”就可以找到登录者了。
测试3:在离开“肉鸡”时,为了不留下痕迹黑客们都喜欢清除日志(图3),以免惹来不必要的麻烦。但实际上是不是很管用呢?我也来测试一下。
这里我清除审核日志后,发现审核日志里还会产生一个新的日志,虽然这条信息不能给管理员带来什么东西,但管理员可以很明显地看出有人入侵了,从而采取相应手段来防止他人再次入侵。