查看主机信息监控,内存高
服务器不停的在远程登录、失败,内存不释放,一直叠加进程,最终导致服务器死机。
任务管理中windows logon user interface host定位程序LogonUI.exe
LogonUI代表 WindowsLogonUserInterface Host
文件名上的.exe扩展名表示可执行文件可切割文件。在某些情况下,可执行文件可能会损害您的计算机。因此,自行确定计算机上的LogonUi.exe是您应该删除的特洛伊木马,还是属于Windows操作系统或受信任应用程序的文件。
未发现异常
rdp默认端口已改,查看出口安全设备,发现大量境外ip连接rdp端口,无图
cmd命令 taskkill /F /im LogonUI.exe 强制清除进程后内存使用率下降,业务恢复正常
处理总结
1、rdp端口修改为6万以后的端口
2、安全组限制源地址访问(难)
3、gpedit.msc-计算机配置-管理模板-Windows组件-远程桌面服务-远程桌面会话主机-连接”,限制连接数修改为3
与此计算机的连接数受到限制”也可能是策略错误,我们可以在组策略中对远程桌面连接数量设置,操作步骤如下:
步骤1. 在搜索框中输入“gpedit.msc”,以打开本地组策略编辑器。
步骤2. 导航至此处:计算机配置 > 管理模板 > Windows 组件 > 远程桌面服务 > 远程桌面会话主机 > 连接,在右窗格中,找到并双击“限制连接的数量”。
步骤3. 您可以将其设置为“已启用”并将连接数设置为您想设置的数量。
最新评论