3389&RDP远程登录日志统计工具（显示IP归属地）

显示全部楼层 · 发表于 2023-4-26 23:48:02

最近找了一个服务器对其加固后放到公网上面，看系统日志有点费眼。
所以弄了这个小工具通过读取系统日志统计入侵IP以及归属地。

最近攻击的IP就不打码了

使用方法：运行主程序，等待黑窗口结束就会生成记录文件。

下载地址：https://wwwa.lanzouf.com/iYeRO0u11ikb 密码:9e4p

注：qqwry.dat为纯真IP库，以后可自己升级替换此文件。
另外因为每条记录查询归属地都会读IP库，如果不需要归属地可以删除qqwry.dat，这样生成记录时间能减少三分之二。

显示全部楼层 · 发表于 2023-6-5 08:40:12

感谢分享，很实用的工具，简单明了。

显示全部楼层 · 发表于 2023-6-15 10:26:32

咦，这个有意思，下载玩一玩了

显示全部楼层 · 发表于 2023-7-21 15:02:48

如果端口不是3389也能用吗

显示全部楼层 · 发表于 2023-7-21 17:05:59

a1988027 发表于 2023-7-21 15:02
如果端口不是3389也能用吗

可以，就是调取系统日志而已，加了归属地以便查询。

显示全部楼层 · 发表于 2023-7-22 16:56:19

调取系统日志而已

显示全部楼层 · 发表于 2023-8-3 16:08:09

本帖最后由 daymanhailong 于 2023-8-3 16:11 编辑

ESET报毒<?xml version="1.0" encoding="utf-8" ?>
<ESET>
  <LOG>
<RECORD>
   <COLUMN NAME="时间">2023-08-03 16:05:10</COLUMN>
   <COLUMN NAME="扫描程序">文件系统实时防护</COLUMN>
   <COLUMN NAME="对象类型">文件</COLUMN>
   <COLUMN NAME="对象">C:\Users\Downloads\RDP日志统计\RDP日志统计\RDP日志统计.exe</COLUMN>
   <COLUMN NAME="检测">MSIL/Packed.VMProtect.D 可疑应用程序的变量</COLUMN>
   <COLUMN NAME="操作">已通过删除清除</COLUMN>
   <COLUMN NAME="用户">DESKTOP-D7TPOMU</COLUMN>
   <COLUMN NAME="信息">在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (F662CF9608A398E28FE06570D5E1740C015BCE67).</COLUMN>
   <COLUMN NAME="哈希">BE40C4E235D246C1D06971FB9D891DEABC03F0E6</COLUMN>
   <COLUMN NAME="此处首次所见">2023-08-03 16:05:07</COLUMN>
</RECORD>
</LOG>
</ESET>

显示全部楼层 · 发表于 2023-8-4 21:22:05

daymanhailong 发表于 2023-8-3 16:08
ESET报毒

MSIL/Packed.VMProtect.D 可疑应用程序的变量检测的壳信息。

显示全部楼层 · 发表于 2023-8-11 18:25:56

这个可以研究下下

显示全部楼层 · 发表于 2023-9-9 13:12:59

好东西啊，感谢分享

[原创工具] 3389&RDP远程登录日志统计工具（显示IP归属地）

评分