23年12月底的时候,客户的一台在Hostease购买的Windows美国服务器客户投诉网站打不开,在登陆服务器检查问题的时候发现文件都被加密了,我也有几台在Hostease的服务器,一直都很稳定。不过这件事情想想也比较蹊跷,都23年了,居然还会中勒索病毒??!!
还好我们都会建议客户给重要的服务器顺带配备R1Soft服务器备份,前后差不多花了1天时间把整台服务器恢复到1周前没有被黑的状态。我买的R1Soft最多只保留一周的数据,不然服务器上的数据就没有了,也幸亏客户当时听我们的建议,购买了R1Soft备份,不然想想还有点后怕。
这个客户服务器是客户自己来做的系统配置,好在服务器被黑后,这个客户请我们协助他做了一些事后的恢复重建工作和安全加固,在排查中发现,客户的操作系统在配置的时候对于安全部分的疏忽导致了这一问题,近期也闲下来,整理了事情的全部过程,以及修复如何验证并解决的过程,因为内容较多,所以我们拆分几篇文章来说,本文主要来说明一下,如何查询Windows的登陆日志。
查询Windows的登陆日志
方法一
在Windows中,所有的登陆日志都会被记录在事件查看器当中,你可以通过下面的步骤来访问事件查看器:
1.在Windows系统中使用快捷键Win+R或者开始菜单打开“运行”程序
2.输入“eventvwr.msc”启动事件管理器
3.在左侧的“Windows日志”下找到“安全”,在右侧安全列表中就可以看到所有和安全有关的日志,我们可以通过下面的不同的事件ID代表找到不同的事件: | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
