自动实时监控Windows2003服务器终端登录

朋友一台Windows服务器被黑了，而且还被人恶意删除了一些数据备份，帮其做了下安全加固，考虑到服务器都是通过Windows 终端服务器来管理的，就想办法对其登录做个监控，找了个命令行下发邮件的小工具blat还有批处理，做了个简单的监控程序，功能是当有人通过终端登录且成功后，会向指定的邮箱发送登录者IP地址。

1.先下载blat解压缩到c盘blat目录下面。

2.任意目录新建一个bat文件，我这里是mail.bat,内容如下，

 

view source

print?

01@echo off

02date /t >mail.txt

03time /t >>mail.txt

04netstat -n -p tcp | find "3389" >>mail.txt

05:::::::::::::: config::::::::::::::

06set from=Neeao.com@126.com

07set user=neeao.com

08set pass=neeao.com

09set to=neeao.com@qq.com

10set subj=3389

11set mail=mail.txt

12set server=smtp.126.com

13set debug=-debug -log blat.log -timestamp

14::::::::::::::::: run blat :::::::::::::::::

15C:/blat/full/blat.exe %mail% -to %to% -base64 -charset Gb2312 -subject %subj%  -server %server% -f %from% -u %user% -pw %pass% %debug%

16start Explorer

很简单的了，先通过bat查找哪个ip连接到了本机的3389端口，然后邮件发送到指定邮箱。

3.进入控制面板---管理工具---终端服务器配置---RDP-Tcp---属性-环境-用户登录时启用下列程序---在程序路径和文件名---写“C:/mail.bat”---起始于---写“C:/”这样就ok了。

4.注销，重新登录，看是否能收到邮件。如果出错的话，桌面出不来的话，可通过ctrl+alt+end来呼出任务管理器来调用桌面。

5.目前发现个小bug，就是登录的时候，会弹出一个cmd的框。

6.如果开通邮箱的短信通知，或者使用139的邮箱，可以达到实时的手机短信通知，有兴趣的可以试试。

参考资料：

0.http://hi.baidu.com/testvbpro/blog/item/5e8aa9c7efb063d1d1006084.html 1.http://xuyafei202.blog.163.com/blog/static/2798837320105107550913/