Chào các bạn, trong bài viết này Vinacloud.vn sẽ hướng dẫn các bạn cách kiểm tra IP Đã Remote Desktop vào VPS Windows khi nghi ngờ/phát hiện máy chủ của bạn bị truy cập trái phép.
⚡ Tóm tắt nhanh từ Chuyên gia:
Để kiểm tra log IP login VPS Windows, phương pháp chuẩn xác nhất là sử dụng công cụ Event Viewer mặc định. Bạn truy cập theo đường dẫn: Applications and Services Logs \ Microsoft \ Windows \ TerminalServices-LocalSessionManager \ Operational và tra cứu các bản ghi có Event ID 21 (Đăng nhập thành công) hoặc Event ID 25 (Khôi phục kết nối). Tại tab General của Event ID này, hệ thống sẽ hiển thị chi tiết mốc thời gian, tên tài khoản đăng nhập và địa chỉ IP nguồn (Source Network Address) đã thực hiện kết nối từ xa.
Đối với các nhà quản trị mạng hoặc các nhà vận hành MMO sở hữu hệ thống Cloud Server lớn để treo tool tự động hóa, việc giám sát an ninh máy chủ là nhiệm vụ tối quan trọng. Trong nhiều trường hợp, bạn có thể nhận thấy VPS có dấu hiệu phản hồi chậm, tool bị tắt đột ngột, hoặc nghi ngờ có sự xâm nhập trái phép sau khi thực hiện thay đổi password cho VPS. Lúc này, việc trích xuất và phân tích nhật ký (log) truy cập hệ thống là giải pháp duy nhất giúp bạn xác định danh tính kẻ xâm nhập.
Bài viết này từ VinaCloud sẽ hướng dẫn bạn chi tiết hai phương pháp kiểm tra lịch sử log trên VPS Windows, giúp truy tìm chính xác địa chỉ IP nguồn đã kết nối vào máy chủ thông qua giao thức Remote Desktop Connection (RDP).
Lưu ý: Nếu chắc chắn máy chủ bị truy cập trái phép, tuyệt đối không nên cố gắng thay đổi user/password. Vì cho dù thay đổi cũng không thể đảm bảo máy chủ của bạn đã được an toàn. Lời khuyên là nên cài đặt lại hệ điều hành và thực hiện các biện pháp bảo mật tốt nhất.
1. Cách 1: Kiểm Tra Lịch Sử Đăng Nhập Thủ Công Qua Event Viewer
Để kiểm tra IP đã Remote Desktop tới máy Chủ Windows Server ta làm như sau:
Để kiểm tra log IP của các phiên đăng nhập vào VPS thông qua Remote Desktop, bạn có thể làm theo các bước sau:
-
Mở Event Viewer trên VPS Windows. Bạn có thể mở Event Viewer bằng cách nhấn tổ hợp phím Windows + R, sau đó gõ "eventvwr.msc" và nhấn Enter.
-
Trong cửa sổ Event Viewer, trên cột bên trái, mở rộng "Windows Logs" (Nhật ký Windows), sau đó chọn "Security" (Bảo mật).
-
Trong cửa sổ chính của Security, bạn sẽ thấy danh sách các sự kiện bảo mật được ghi lại.
-
Để lọc các sự kiện liên quan đến Remote Desktop, bạn có thể sử dụng tính năng tìm kiếm. Ở cửa sổ Event Viewer, nhấp vào "Filter Current Log" (Lọc nhật ký hiện tại) từ menu bên phải.
-
Trong hộp thoại Filter Current Log, nhập các từ khóa sau vào ô "Filter":
Event ID: 4624 AND Source Network Address: <IP_address>Thay
bằng địa chỉ IP cụ thể mà bạn muốn kiểm tra. -
Nhấp vào nút "OK" để áp dụng bộ lọc.
-
Cửa sổ Event Viewer sẽ chỉ hiển thị các sự kiện bảo mật có liên quan đến Remote Desktop và địa chỉ IP đã được lọc. Các sự kiện này thường có ID sự kiện là 4624, và trong chi tiết sự kiện, bạn có thể tìm thấy địa chỉ IP của phiên đăng nhập Remote Desktop.
-
Bạn có thể nhấp đúp vào từng sự kiện để xem thông tin chi tiết và tìm địa chỉ IP trong phần "Network Information" (Thông tin mạng).
Lưu ý rằng chỉ có các sự kiện đăng nhập thành công sẽ được ghi lại trong log. Nếu phiên đăng nhập không thành công, sự kiện tương ứng có thể không xuất hiện trong log.
>>> Xem thêm: Hướng dẫn sử dụng VPS Windows bằng Remote Desktop connection cho người mới.
Hướng dẫn chi tiết bằng hình ảnh.
Bấm tổ hợp phím Windows+R sau đó nhập eventvwr
Trong Event Viewer chọn Windows Logs -> Nhấn chọn Security ở cửa sổ bên trái
Ở cửa sổ bên phải -> Nhấn chuột chọn trường Filter Current Log.
Trong hộp thoại tiếp theo, nhập dòng 4648 vào hộp văn bản bên dưới “Includes/Excludes Event IDs…”
Nhấn OK để lọc nhật ký sự kiện ( Event log )
Bây giờ, Trình xem sự kiện (Event Viewer) sẽ chỉ hiển thị các sự kiện có Event ID 4648
Click đúp chuột 2 lần vào Event ID muốn xem để xem chi tiết về Event ID đó, kéo phần mô tả xuống một chút sẽ thấy phần như sau:
Network Information:
Network Address: x.x.x.x
Port: 0
Trong đó Network Address là địa chỉ IPv4 của máy tính thực hiện Remote Destop tới VPS Windows, bạn có thể lần lượt xem từng dòng
Trường hợp bạn muốn tải file dạng excel về máy để xem cho tiện bạn có thể làm như sau
>>> Xem thêm: Hướng dẫn đưa file lên VPS Windows từ máy tính đơn giản nhất
Phía bên phải chọn: Save Filtered Log File As...
2. Cách 2: Sử Dụng Script PowerShell Trích Xuất Log IP Siêu Tốc
Nếu việc tra cứu từng Event ID thủ công làm mất nhiều thời gian, việc sử dụng tập lệnh PowerShell sẽ giúp bạn tự động lọc và hiển thị danh sách tất cả các IP đã đăng nhập thành công dưới dạng một bảng thống kê gọn gàng.
Quy trình thực hiện:
- Bấm chọn thanh tìm kiếm của Windows trên VPS, gõ từ khóa
PowerShell, nhấp chuột phải vào ứng dụng **Windows PowerShell** và chọn lệnh **Run as Administrator**. - Sao chép toàn bộ đoạn mã lọc chuyên sâu dưới đây và dán (Paste) vào cửa sổ dòng lệnh PowerShell rồi nhấn **Enter**:
$RDPLogs = Get-WinEvent -LogName "Microsoft-Windows-TerminalServices-LocalSessionManager/Operational" | Where-Object {$_.Id -eq 21 -or $_.Id -eq 25}
$RDPResults = foreach ($Log in $RDPLogs) {
$XML = [xml]$Log.ToXml()
[PSCustomObject]@{
TimeCreated = $Log.TimeCreated
EventID = $Log.Id
User = $XML.Event.UserData.SessionLogonNotification.User
SourceIP = $XML.Event.UserData.SessionLogonNotification.Address
}
}
$RDPResults | Out-GridView
Ứng dụng sẽ tự động khởi chạy một bảng giao diện đồ họa độc lập (Grid View). Tại đây, bạn sẽ thấy toàn bộ lịch sử đăng nhập được phân loại rõ ràng theo 4 cột: Mốc thời gian (TimeCreated), Mã sự kiện (EventID), Tài khoản (User) và địa chỉ IP kết nối (SourceIP), cho phép bạn thực hiện tìm kiếm hoặc lọc dải IP nghi vấn cực kỳ tiện lợi.
3. Troubleshooting: Xử Lý Khi Nhật Ký Log Bị Xóa Hoặc Ẩn Địa Chỉ IP
Trong thực tế vận hành hệ thống, đôi khi bạn truy cập vào Event Viewer nhưng nhận thấy danh mục trống rỗng hoặc địa chỉ IP nguồn hiển thị các ký tự bất thường. Hãy xử lý theo các tình huống kỹ thuật sau:
3.1 Log hiển thị Source Network Address là "LOCAL" hoặc "::1"
Nguyên nhân: Hiện tượng này xảy ra khi kết nối không xuất phát từ internet bên ngoài mà được thực hiện nội bộ ngay trên máy chủ ảo (Ví dụ: Bạn dùng phần mềm quản lý hoặc kết nối thông qua cổng cứu hộ Console VNC của nhà cung cấp).
Giải pháp: Đây là trạng thái an toàn, biểu thị tiến trình đăng nhập nội bộ hợp pháp, không phải do hacker tấn công qua cổng mạng Remote Desktop Port 3389.
3.2 Dung lượng log bị tràn dẫn đến mất dấu lịch sử cũ
Mặc định Windows Server thiết lập giới hạn dung lượng tệp lưu log Operational khá nhỏ (Khoảng 1MB). Khi đạt tới ngưỡng này, hệ thống sẽ tự động ghi đè dữ liệu mới lên các bản ghi cũ, làm mất đi các dữ liệu log an ninh quan trọng vài tuần trước đó.
Giải pháp tăng không gian lưu trữ nhật ký: Tại Event Viewer, nhấp chuột phải vào thư mục thư mục Operational -> chọn thuộc tính **Properties**. Tại ô **Maximum log size (KB)**, bạn tiến hành tăng thông số lưu trữ lên mức lớn hơn (Ví dụ: 20480 KB tương đương 20MB bộ nhớ) để đảm bảo hệ thống có đủ không gian lưu giữ lịch sử log trên VPS từ 3 đến 6 tháng liên tục.
4. Các Câu Hỏi Thường Gặp (FAQ)
Kiểm tra log thấy có hàng trăm Event ID 4625 xuất hiện liên tiếp trong một phút có nguy hiểm không?
Đây là dấu hiệu cảnh báo hệ thống bảo mật VPS Windows của bạn đang bị các mạng lưới botnet tấn công dò quét mật khẩu tự động diện rộng (Brute-Force). Để ngăn chặn nguy cơ này, bạn cần nhanh chóng tiến hành đổi cổng kết nối RDP mặc định, đổi tên User Administrator và cấu hình Windows Firewall thiết lập chính sách khóa tài khoản nếu nhập sai thông tin quá số lần quy định.
Nếu hacker xâm nhập và chủ động bấm xóa sạch nhật ký log trong Event Viewer thì có cách nào truy vết lại không?
Khi một tài khoản thực hiện lệnh xóa nhật ký hệ thống (Clear Log), bản thân hành động xóa này sẽ lập tức kích hoạt một sự kiện an ninh đặc biệt mang mã số **Event ID 1102** (The audit log was cleared) nằm bên mục Windows Security Logs. Log này ghi rõ mốc thời gian và tài khoản nào đã thực hiện việc xóa dữ liệu đệm, làm bằng chứng xác thực cho việc hệ thống đã bị can thiệp xóa dấu vết trái phép.
