对方是暴力破解的吗? 已经强密码.除了指定IP登陆,还有其他措施吗?

Event Type: Success Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 540
Date:
Time: 18:17:52
User: NT AUTHORITY\ANONYMOUS LOGON
Computer: XXXXXX
Description:
Successful Network Logon:
User Name:
Domain:
Logon ID: ( )
Lo美国服务器gon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name:
Logon GUID: -
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: -
Source Port: -


For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
通常来说win服务器可以登录3389基本上是拿到管理员权限。所有文件对对方都是可见的。
然而，NT AUTHORITY\ANONYMOUS LOGON
并不是登陆3389日志。

首先停用所有可疑账户，自用管理员权限账户更改密码，然后排查对方渗透方式，做好善后。

谢谢，请问NT AUTHORITY\ANONYMOUS LOGON 是什么日志？　我服务器上浏览器中保存的密码是不是都不安全了？


代表不使用帐户名、密码或域名而通过网络访问计算机及其资源的用户和服务。
比如FTP之类服务，单说这条日志很正常，不存在风险。但是不能确定你服务器有没有其它风险。
建议启用证书登陆，麻烦一些换来高安全性。
和ssh一样,单纯密码登陆目前都算是缺点。
即便是服务器被黑，浏览器保存密码通常也不容易被利用，因为很少有人用服务器上的浏览器，搜集服务器信息也很少打这方面主意。

谢谢，请问如何排查呢？能否给个思路？我用process explorer查看所有进程，没发现可疑，除了暴力穷举破解外，还是其他可能吗？　启用证书是指SSL加密认证吗？那个据说也不安全　用RC4加密，而且远程服务器安装证书组件需要插入光盘，VPS,没法弄．

首先，进程、服务、启动项过一遍
然后用工具看下有没有隐藏账户
最后再登陆3389时候试试5下shift和win+u有没有被留后门，改掉3389端口。
远程桌面暴力破解难度大，而且会留下一大堆日志文件。
通常来说，都是系统其它程序漏洞、配置不正确导致被入侵。
比如php之类web程序被拿到webshell，相关目录有执行权限利用本地溢出拿到系统权限。
再比如web程序有SQL注入漏洞，mssql以系统管理员权限运行直接执行cmd命令拿到系统权限。
程序、系统没有及时更新补丁被远程溢出等。

远程无法插光盘问题可通过虚拟光驱解决。
1.本地挂载光盘远程桌面带到服务器
2.vps下载光盘，虚拟光盘加载

谢谢 ,我那台服务器是刚启用,什么都没装,firewall一直关闭直到前几天开了才发现被黑的, 现在防火墙3389端口已指定ip登陆,并只开放该端口,这样以后还有被入侵的可能吗?


可能性很小