Windows-Server-2008
任務管理器中的 csrss.exe、LogonUI.exe、svchost.exe 和 winlogon.exe 太多
在 windows server 2008 企業版上,沒有任何變化,但最近任務管理器中有許多
csrss.exe
、LogonUI.exe
和程序。svchost.exe``winlogon.exe
這是否意味著某些遠端會話處於活動狀態(伺服器已受到威脅)或什麼?
編輯:
我檢查了事件日誌,似乎有人試圖用
Administrator
使用者登錄。它似乎是一個自動化工具。我該如何防禦(阻止黑客IP …)?這是日誌:
An account failed to log on. ... Logon Type: 10 Account For Which Logon Failed: Security ID: NULL SID Account Name: Administrator Account Domain: ... Failure Information: Failure Reason: Unknown user name or bad password. Status: ... Sub Status: ... Process Information: Caller Process ID: ... Caller Process Name: C:\Windows\System32\winlogon.exe Network Information: Workstation Name: ... Source Network Address: ... Source Port: ... Detailed Authentication Information: Logon Process: NtLmSsp Authentication Package: NTLM Transited Services: - Package Name (NTLM only): - Key Length: 0 This event is generated when a logon request fails. It is generated on the computer where access was attempted. ...
Logon Type 10 是遠端互動式登錄,表示有人試圖通過 RDP 登錄。您是否允許通過防火牆與伺服器建立 RDP 連接?
許多 Windows 服務使用 svchost.exe。您可以查看 services.msc 節點以查看它們。只需點兩下某些服務,如 dhcp 客戶端或 dns 客戶端,即可查看 Windows 將為該服務啟動的執行檔。如果您擔心終端服務或遠端桌面連接,您可以轉到任務管理器中的使用者選項卡,查看目前是否有人登錄。這當然只適用於微軟遠端工具。