自動實時監控Windows2003服務器終端登陸

朋友一臺Windows服務器被黑了，並且還被人惡意刪除了一些數據備份，幫其作了下安全加固，考慮到服務器都是經過Windows 終端服務器來管理的，就想辦法對其登陸作個監控，找了個命令行下發郵件的小工具blat還有批處理，作了個簡單的監控程序，功能是當有人經過終端登陸且成功後，會向指定的郵箱發送登陸者IP地址。

1.先下載blat解壓縮到c盤blat目錄下面。

2.任意目錄新建一個bat文件，我這裏是mail.bat,內容以下，

@echo off
date /t >mail.txt
time /t >>mail.txt
netstat -n -p tcp | find "3389" >>mail.txt
:::::::::::::: config::::::::::::::
set from=123456@qq.com
set user=123456
set pass=xxxxxxxxx
set to=123456@qq.com
set subj=3389
set mail=mail.txt
set server=smtp.126.com
set debug=-debug -log blat.log -timestamp
::::::::::::::::: run blat :::::::::::::::::
blat.exe %mail% -to %to% -base64 -charset Gb2312 -subject %subj%  -server %server% -f %from% -u %user% -pw %pass% %debug%
start Explorer

 

很簡單的了，先經過bat查找哪一個ip鏈接到了本機的3389端口，而後郵件發送到指定郵箱。

3.進入控制面板---管理工具---終端服務器配置---RDP-Tcp---屬性-環境-用戶登陸時啓用下列程序---在程序路徑和文件名---寫「C:mail.bat」---起始於---寫「C:」這樣就ok了。

4.註銷，從新登陸，看是否能收到郵件。若是出錯的話，桌面出不來的話，可經過ctrl+alt+end來呼出任務管理器來調用桌面。

5.目前發現個小bug，就是登陸的時候，會彈出一個cmd的框。

6.若是開通郵箱的短信通知，或者使用139的郵箱，能夠達到實時的手機短信通知，有興趣的能夠試試。

此文轉載至，http://www.2cto.com/Article/201008/54393.html