我的Windows Server 2012服务器是不是被入侵了?——在线等

Windows Server 2012 DataCenter
日志如下:

已成功登录帐户。

使用者:
安全 ID: SYSTEM
帐户名: LIU2012$
帐户域: WORKGROUP
登录 ID: 0x3E7

登录类型: 5

模拟级别: 模拟

新登录:
安全 ID: SYSTEM
帐户名: SYSTEM
帐户域: NT AUTHORITY
登录 ID: 0x3E7
登录 GUID: {00000000-0000-0000-0000-000000000000}

进程信息:
进程 ID: 0x1dc
进程名: C:\Windows\System32\services.exe

网络信息:
工作站名:

源网络地址: -
源端口: -

详细身份验证信息:
登录进程: Advapi

身份验证数据包: Negotiate
传递的服务: -
数据包名(仅限 NTLM): -
密钥长度: 0

创建登录会话后,在被访问的计算机上生成此事件。

“使用者”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

“登录类型”字段指明发生的登录种类。最常见的类型是 2 (交互式)和 3 (网络)。

“新登录”字段指明新登录是为哪个帐户创建的,即登录的帐户。

“网络”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。

模拟级别字段指明登录会话中的进程可以模拟的程度。

“身份验证信息”字段提供关于此特定登录请求的详细信息。
-“登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。
-“传递的服务”指明哪些中间服务参与了此登录请求。
- “数据包名”指明在 NTLM 协议之间使用了哪些子协议。
-“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0。


为新登录分配了特殊权限。

使用者:
安全 ID: SYSTEM
帐户名: SYSTEM
帐户域: NT AUTHORITY
登录 ID: 0x3E7

特权: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege

2个回答

如果这个登录不是你所为,或者你授权的某个程序/脚本所为,那么可能就是被入侵了。

这是系统进程登录,可能是你的一个程序的登录。

Csdn user default icon
上传中...
上传图片
插入图片
抄袭、复制答案,以达到刷声望分或其他目的的行为,在CSDN问答是严格禁止的,一经发现立刻封号。是时候展现真正的技术了!
其他相关推荐
我是不是被入侵了?
我的机器安装的是Win2000Server,局域网中,没有接入Internet,两天前,我打开机器发现在按Ctrl+Alt+Del后,登录之前,会有一个消息框,标题为r,内容也是r,一个确定按钮,很像那种登录前给出消息的那个东西,可是进去以后,我打开注册表,看到并没有设置这个东西,不知道是怎么回事?请各位给点意见。
我的电脑是不是被入侵了?
我的电脑Red Hat Linux 9,内部IP:192.168.0.8,连接ADSL上网rn近日发现root的邮件里面有以下的内容:rnrnSSHD Killed: 11 Time(s)rn rnSSHD Started: 11 Time(s)rn rnFailed logins from these:rn root/password from 218.6.145.91: 3 Time(s)rn root/password from 61.33.21.250: 109 Time(s) rn**Unmatched Entries**rnIllegal user test from 218.6.145.91rnIllegal user guest from 218.6.145.91rnIllegal user admin from 218.6.145.91rnIllegal user admin from 218.6.145.91rnIllegal user user from 218.6.145.91rnIllegal user test from 218.6.145.91rnIllegal user test from 61.33.21.250rnIllegal user guest from 61.33.21.250rnIllegal user admin from 61.33.21.250rnIllegal user admin from 61.33.21.250rnIllegal user user from 61.33.21.250rnIllegal user test from 61.33.21.250rnIllegal user test from 61.33.21.250rnIllegal user test from 61.33.21.250rnIllegal user test from 61.33.21.250rnsshd -TERM succeededrn succeededrnsshd -TERM succeededrn succeededrnsshd -TERM succeededrn succeededrnsshd -TERM succeededrn succeededrnsshd -TERM succeededrn succeededrnsshd -TERM succeededrn succeededrnsshd -TERM succeededrn succeededrnsshd -TERM succeededrn succeededrnsshd -TERM succeededrn succeededrnsshd -TERM succeededrn succeededrnsshd -TERM succeededrn succeededrn rn ---------------------- SSHD End -------------------------rnrn请问我的系统是不是被入侵了?要怎样才可以关闭一切外网主动向本系统的连接呢?
急,我是不是被入侵了?
不断的有如下日志rnrn================================= rn rn 受信任的登录过程已经在本地安全机制机构注册。 将信任这个登录过程来提交登录申请。 rn rn 登录过程名: Winlogon\MSGina rnrn然后还发现了几个这种日志rnrn================================= rn 添加了安全策略启动的全局组成员: rn 成员名称: - rn 成员 ID: USER2\iisadmin rn 目标帐户名称: None rn 目标域: USER2 rn 目标帐户 ID: USER2\None rn 呼叫用户名称: USER2$ rn 呼叫域: WORKGROUP rn 呼叫者登录 ID: (0x0,0x3E7) rn 特权: - rn ================================= rn rn 创建了用户帐户: rn 新的帐户名: iisadmin rn 新域: USER2 rn 新帐户标识: USER2\iisadmin rn 呼叫方用户名: USER2$ rn 呼叫方所属域: WORKGROUP rn %呼叫方登录 ID: (0x0,0x3E7) rn 特权 - rn rn ================================= rn rn 更改了用户帐户: rn 已启用帐户。 rn '不要求密码' - 已禁用 rn 目标帐户名称: iisadmin rn 目标域: USER2 rn 目标帐户 ID: USER2\iisadmin rn 呼叫方用户名: USER2$ rn 呼叫方所属域: WORKGROUP rn 呼叫方登录 ID: (0x0,0x3E7) rn 特权: - rn rn ================================= rn rn 设置了用户帐户密码: rn 目标帐户名: iisadmin rn 目标域: USER2 rn 目标帐户 ID: USER2\iisadmin rn 呼叫方用户名: USER2$ rn 呼叫方所属域: WORKGROUP rn 呼叫方登录 ID: (0x0,0x3E7) rn rn ================================== rn rn 添加了安全策略启动的本地组成员: rn 成员名称: - rn 成员ID: USER2\iisadmin rn 目标帐户名称: Users rn 目标域: Builtin rn 目标帐户 ID: BUILTIN\Users rn 呼叫用户名称: USER2$ rn 呼叫域: WORKGROUP rn 呼叫者登录 ID: (0x0,0x3E7) rn 特权: - rn rn ================================== rn rn 添加了安全策略启动的本地组成员: rn 成员名称: - rn 成员ID: USER2\iisadmin rn 目标帐户名称: Administrators rn 目标域: Builtin rn 目标帐户 ID: BUILTIN\Administrators rn 呼叫用户名称: USER2$ rn 呼叫域: WORKGROUP rn 呼叫者登录 ID: (0x0,0x3E7) rn 特权: - rn rn ================================== rn rn 受信任的登录过程已经在本地安全机制机构注册。 将信任这个登录过程来提交登录申请。 rn rn 登录过程名: Winlogon\MSGina rn rn ================================== rn rn 为登录所用的帐户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 rn 帐户名: rn iisadmin rn 工作站: rn USER2 rn这次些都不是我做的操作,那么受信任的登录过程已经在本地安全机制机构注册。 将信任这个登录过程来提交登录申请。 rn rn 登录过程名: Winlogon\MSGina rn这个登录时如何实现的呢?我该如何阻止?
Windows server 2003被入侵,
Windows server 2003被入侵,密码被改了,怎么改回来啊,谢谢大家了,急………………
网站是不是被入侵了?
asp+sqlserver数据库rn留言字段会莫名其妙的在数据后追加
是不是被入侵了???
我的Win2000ADS系统,事件查看器中的应用程序是日志里有一条rn事件类型: 信息rn事件来源: NuTCRACKER 4rn事件种类: Servicern事件 ID: 11000rn日期: 2002-6-19rn事件: 9:41:22rn用户: N/Arn计算机: ECHOrn描述:rnThe NuTCRACKER Service started sucessfully. [nutsrv4.exe (.\nutserv.c:381) PID=936 TID=976] rnrn请问这是什么东西???急!
大家来看看我的服务器是不是被入侵了?
我今天5点并没有登陆自己的服务器,但我查看事件日志,发现5点有登陆记录,而登陆类型是8。我在网络上搜索了下对登陆类型8的解释:rnrn登录类型8:网络明文(NetworkCleartext) rnrn这种登录表明这是一个像类型3一样的网络登录,但是这种登录的密码在网络上是通过明文传输的,WindowsServer服务是不允许通过明文验证连接到共享文件夹或打印机的,据我所知只有当从一个使用Advapi的ASP脚本登录或者一个用户使用基本验证方式登录IIS才会是这种登录类型。“登录过程”栏都将列出Advapi。 rnrn登录类型3:网络(Network)rnrn  当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3,最常见的情况就是连接到共享文件夹或者共享打印机时。另外大多数情况下通过网络登录IIS时也被记为这种类型,但基本验证方式的IIS登录是个例外,它将被记为类型8,下面将讲述。rnrn我不太明白:使用Advapi的ASP脚本登录或者一个用户使用基本验证方式登录IIS才会是这种登录类型。这句话是什么意思?什么是“使用Advapi的ASP脚本登录”?什么又是“一个用户使用基本验证方式登录IIS”??rn
Windows Server 2012 之服务器管理器
Windows Server 2012于昨晚9月4日隆重发,下载地址 昨天23点才发布,太晚了,今天一早下载到中午才安装上,激活后,终于可以去掉右下角的版本LOGO了,一下午在忙,现在才能体验;先从变化最大的地方——服务器管理器说起吧。 之前写过一个RC版的服务器管理器体验http://dinghuqiang.blog.51cto.com/...
windows server 2012服务器自动重启
windows server 2012服务器频繁重启,查看进程,有某个进程占用CPU 99%,无法结束进程,通过右击打开文件位置,也找不到这个程序,该怎么处理[img=https://img-bbs.csdn.net/upload/201802/24/1519439562_279073.png][/img]
大家帮我看一下我的服务器是不是被入侵了?
在服务器日志中.有几个今天2点钟的审核记录.而且是审核成功的.rnrn审核成功 2011-3-24 2:24:24 Security 登录/注销 538 IUSR_biranyan-ACFB048 biranyan-ACFB048rn审核成功 2011-3-24 2:23:22 Security 登录/注销 540 IUSR_biranyan-ACFB048 biranyan-ACFB048rn审核成功 2011-3-24 2:23:22 Security 登录/注销 552 NETWORK SERVICE biranyan-ACFB048rn审核成功 2011-3-24 2:23:22 Security 帐户登录 680 IUSR_biranyan-ACFB048 biranyan-ACFB048rnrnrn这个时间段我是没有登录的.而且服务器的帐号密码只有我一个人知道.别人不可能登录的.rn现在我就是怀疑是不是被入侵了.rnrn点开里面详细内容,有一个登录过程是advapirnrn不知道是个什么问题?
请问我的服务器是不是被别人入侵了。我该怎么做?
我的系统审核日志如下:rn-----------------------------------------------------------------------rn事件类型: 审核成功rn事件来源: Securityrn事件种类: 登录/注销 rn事件 ID: 540rn日期: 2006-8-25rn事件: 7:12:04rn用户: CJ\roc19801101rn计算机: CJrn描述:rn成功的网络登录:rn 用户名: roc19801101rn 域: CJrn 登录 ID: (0x0,0x72D0AEC)rn 登录类型: 8rn 登录过程: Advapi rn 身份验证数据包: Negotiatern 工作站名: CJrn 登录 GUID: -rn 调用方用户名: LOCAL SERVICErn 调用方域: NT AUTHORITYrn 调用方登录 ID: (0x0,0x3E5)rn 调用方进程 ID: 5556rn 传递服务: -rn 源网络地址: -rn 源端口: -rn--------------------------------------------------------------------------------rnrn请问我的服务器是不是被别人入侵了。我该怎么做?rn
我的网站是不是被恶意入侵了
我的是php写的,服务器是justhost上申请的。rn今天查看后台发现admin有被别人在凌晨用的痕迹,但那个时间我没上网,而且那个进入我admin的人IP是在中东,我后台有自动记录ip。rn后来查看justhost日志和最近访客,发现这个IP访问了很多类似这种的页面:rnrn/au/shop.php?dest_id=3&shop_id=999999.9+union+all+select+%28select+concat%280x7e%2C0x27%2CCART.username%2C0x27%2C0x7e%29+from+%60whimwin1_DB%60.CART+Order+by+ip_address+limit+40%2C1%29+--rnrn正常人访问的页面应该是/au/shop.php?dest_id=3 之类的,这么长的访问地址是不是恶意试探的?而且在1分钟之内访问了很多类似的地址,是不是用黑客软件在自动探测????rnrn但是我又感觉不像,这地址里面包括了我数据库名字和一些表,这些是怎么出来的???rnrn愁死我了。。。rn
登录过程:advapi ,我是不是被入侵了?
rn事件类型: 审核成功rn事件来源: Securityrn事件种类: 帐户登录 rn事件 ID: 680rn日期: 2011-1-7rn事件: 11:30:27rn用户: IDC-366\IUSR_IDC_687rn计算机: IDC-366rn描述:rn尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0rn 登录帐户: IUSR_IDC_687rn 源工作站: IDC-366rn 错误代码: 0x0rnrnrn有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。rn=======rn事件类型: 审核成功rn事件来源: Securityrn事件种类: 登录/注销 rn事件 ID: 540rn日期: 2011-1-7rn事件: 11:30:27rn用户: IDC-366\IUSR_IDC_687rn计算机: IDC-366rn描述:rn成功的网络登录:rn 用户名: IUSR_IDC_687rn 域: IDC-366rn 登录 ID: (0x0,0x57CBDF)rn 登录类型: 8rn 登录过程: Advapi rn 身份验证数据包: Negotiatern 工作站名: IDC-366rn 登录 GUID: -rn 调用方用户名: NETWORK SERVICErn 调用方域: NT AUTHORITYrn 调用方登录 ID: (0x0,0x3E4)rn 调用方进程 ID: 3096rn 传递服务: -rn 源网络地址: -rn 源端口: -rnrnrn有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。rnrn======rn事件类型: 审核成功rn事件来源: Securityrn事件种类: 登录/注销 rn事件 ID: 538rn日期: 2011-1-7rn事件: 11:55:29rn用户: IDC-366\IUSR_IDC_687rn计算机: IDC-366rn描述:rn用户注销:rn 用户名: IUSR_IDC_687rn 域: IDC-366rn 登录 ID: (0x0,0x57CBDF)rn 登录类型: 8rnrnrn有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。rnrnrn我查了下网上应该是被入侵了,但是我不知道该如何检测,如果删除rn
服务器被入侵,求救
今天中午发现服务器日期被改,上去一看,发现多了个超级用户,按关机,多了个注销guest,guest用户本来是停用的,所有的事件信息被清除rn我在服务器主要装了sql 2000、SERV-U、WEB服务器是2000的IIS、IMAIL、PCAANYWHERE 10.5rn防火墙装的是BLACKICE 3.6,TCP端口也经过过滤rn不知道黑客用何种手法入侵,该如何处理
服务器被入侵?求救
刚装好的2003 WEB服务器。使用固定IP连接。前端没设置防火墙。装好好全盘检查过病毒。装的麦咖啡8.5企业版和360安全卫士。已按照WEB安全设置教程设置。并关闭3389端口。而且固定IP式刚从电信拿到得的。WEB站点并未开设rn放到网上。2小时后莫名奇妙产生病毒。然后被入侵。入侵者把登陆日志记录全部删除。并且拿到管理员权限rn想求助一些各位专家。黑客到底怎么进来的?????rn感激不尽
服务器被入侵,求助???
症状:rn2000 server,rn用户中多了一个隶属于administrators,users,rn的用户,rn每次远程连接时不再显示用户名,rn而是需要重新输入.rn请教他是怎样入侵的???rn求助,rn谢谢.
服务器被入侵?
服务器被入侵,请问如何查入侵者的来源,知道他是如何入侵?如果请除漏洞
windows2003服务器被入侵
windows2003服务器被入侵总是出现sanpao的用户[img=http://hiphotos.baidu.com/zwbmic/pic/item/2f3605247973e0344d088d43.jpg][/img]rn而且总是把我杀毒给卸载,怎么解决啊我都疯了,系统是刚做完的
服务器可能被入侵了
我的服务器里用事件查看器发现有匿名用户ANONYMOUS LOGON 登陆,事件540rn然后又有管理员用户登陆,事件分别是 576 528 680rn我怀疑是我的服务器被入侵了,请高手帮忙解释一下。
服务器被入侵怎么办
服务器被入侵,而且被挂发好多马.现在是服务器上的所有网页文件都被加入了script脚本.rnrn而且服务器上的USB驱动都没有了.U盘没办法用.网卡也一样没办法用.怎么办?rnrn
服务器被入侵
最近服务器上无缘无故多了个名为IIS_user的用户。怎么删都删不掉rn求专家告诉如何解决。感激不尽
帮忙看下是不是被入侵了
[img=C:\Users\shanying\Desktop\未命名.jpg][/img]rn昨晚看个电影4G的内存被用到了98,现在没开什么程序内存也占用了很多。在任务管理器中我发现了几个控制台进程(描述为“控制台主机”),但我没开任何控制台程序。rn是否已被入侵而且正在被别人共用?rn如何发掘自己的机子是否被入侵?
LINUX 是不是被入侵了?如图
[img=https://img-bbs.csdn.net/upload/201711/15/1510716751_462497.png][/img]rnlinux用的不多,所以不是很熟悉,请求各位大侠协作,如图,圈中部分导致服务器带宽达至峰值。这种情况是不是被木马入侵了,由于服务得需要正常使用,我把这个kill了。已经多次出现这种情况了,现在该怎么处理?麻烦大家支个招,完全不知道如何下手了。不想重装系统
我的服务器是否被入侵了呀
各份前辈们,我的服务上个星期被人删改数据库,后来恢复后一重启就要注册vbscript.dll,有时候网站会停止,提示是“请求资源正在使用中”,要重新注册VBscript.dll才能正常运行,iisuser1.net,web1iisuser都是我网站的匿名访问用户,我的系统日志是这样的。rn-----------------------------------------------------------------------rnWindows 已经检测到一个应用程序正在侦听传入流量。 rn rn名称: - rn路径: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe rn进程标识符: 1064 rn用户帐户: SYSTEM rn用户域: NT AUTHORITY rn服务: 是 rnRPC 服务器: 否 rnIP 版本: IPv4 rnIP 协议: UDP rn端口号: 3631 rn允许的: 否 rn通知用户的: 否rnrn-----------------------------------------------------------------------rnWindows 已经检测到一个应用程序正在侦听传入流量。 rn rn名称: - rn路径: C:\WINDOWS\system32\svchost.exe rn进程标识符: 792 rn用户帐户: SYSTEM rn用户域: NT AUTHORITY rn服务: 是 rnRPC 服务器: 否 rnIP 版本: IPv4 rnIP 协议: UDP rn端口号: 3633 rn允许的: 否 rn通知用户的: 否rnrnrn-----------------------------------------------------------------------rnWindows 已经检测到一个应用程序正在侦听传入流量。 rn rn名称: - rn路径: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe rn进程标识符: 1064 rn用户帐户: SYSTEM rn用户域: NT AUTHORITY rn服务: 是 rnRPC 服务器: 否 rnIP 版本: IPv4 rnIP 协议: TCP rn端口号: 21073 rn允许的: 否 rn通知用户的: 否rn-----------------------------------------------------------------------rnrnWindows 已经检测到一个应用程序正在侦听传入流量。 rn rn名称: - rn路径: C:\WINDOWS\system32\svchost.exe rn进程标识符: 792 rn用户帐户: SYSTEM rn用户域: NT AUTHORITY rn服务: 是 rnRPC 服务器: 否 rnIP 版本: IPv4 rnIP 协议: UDP rn端口号: 3636 rn允许的: 否 rn通知用户的: 否rnrn-----------------------------------------------------------------------rnWindows 已经检测到一个应用程序正在侦听传入流量。 rn rn名称: - rn路径: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe rn进程标识符: 1064 rn用户帐户: SYSTEM rn用户域: NT AUTHORITY rn服务: 是 rnRPC 服务器: 否 rnIP 版本: IPv4 rnIP 协议: UDP rn端口号: 3639 rn允许的: 否 rn通知用户的: 否rnrnrn-----------------------------------------------------------------------rnrnrnWindows 已经检测到一个应用程序正在侦听传入流量。 rn rn名称: - rn路径: C:\WINDOWS\system32\svchost.exe rn进程标识符: 792 rn用户帐户: SYSTEM rn用户域: NT AUTHORITY rn服务: 是 rnRPC 服务器: 否 rnIP 版本: IPv4 rnIP 协议: UDP rn端口号: 3641 rn允许的: 否 rn通知用户的: 否rnrnrnrn-----------------------------------------------------------------------rnrn已经创建新的过程:rn 新的进程 ID: 5220rn 映像文件名: C:\WINDOWS\system32\inetsrv\w3wp.exern 创建者进程 ID: 1860rn 用户名: MYSERVER$rn 域: WORKGROUPrn 登录 ID: (0x0,0x3E7)rnrnrnrn-----------------------------------------------------------------------rnrn分派给进程一个主令牌。rn 分配进程信息:rn 进程 ID: 1860rn 图像文件名: C:\WINDOWS\system32\svchost.exern 主用户名: MYSERVER$rn 主域: WORKGROUPrn 主登录 ID: (0x0,0x3E7)rn 新进程信息:rn 进程 ID: 5220rn 图像文件名: C:\WINDOWS\system32\inetsrv\w3wp.exern 目标用户名: NETWORK SERVICErn 目标域: NT AUTHORITYrn 目标登录 ID: (0x0,0x3E4)rnrnrn-----------------------------------------------------------------------rnrnWindows 已经检测到一个应用程序正在侦听传入流量。 rn rn名称: - rn路径: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe rn进程标识符: 1064 rn用户帐户: SYSTEM rn用户域: NT AUTHORITY rn服务: 是 rnRPC 服务器: 否 rnIP 版本: IPv4 rnIP 协议: TCP rn端口号: 21040 rn允许的: 否 rn通知用户的: 否rnrn-----------------------------------------------------------------------rnrnWindows 已经检测到一个应用程序正在侦听传入流量。 rn rn名称: - rn路径: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe rn进程标识符: 1064 rn用户帐户: SYSTEM rn用户域: NT AUTHORITY rn服务: 是 rnRPC 服务器: 否 rnIP 版本: IPv4 rnIP 协议: UDP rn端口号: 3643 rn允许的: 否 rn通知用户的: 否rnrnrn-----------------------------------------------------------------------rnrnWindows 已经检测到一个应用程序正在侦听传入流量。 rn rn名称: - rn路径: C:\WINDOWS\system32\svchost.exe rn进程标识符: 792 rn用户帐户: SYSTEM rn用户域: NT AUTHORITY rn服务: 是 rnRPC 服务器: 否 rnIP 版本: IPv4 rnIP 协议: UDP rn端口号: 3645 rn允许的: 否 rn通知用户的: 否rnrn-----------------------------------------------------------------------rnrn尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0rn 登录帐户: web1iisuserrn 源工作站: MYSERVERrn 错误代码: 0x0rnrn-----------------------------------------------------------------------rnrn使用明确凭据的登录尝试:rn 登录的用户:rn 用户名: NETWORK SERVICErn 域: NT AUTHORITYrn 登录 ID: (0x0,0x3E4)rn 登录 GUID: -rn 凭据被使用的用户:rn 目标用户名: web1iisuserrn 目标域: MYSERVERrn 目标登录 GUID: -rnrn 目标服务器名称: localhostrn 目标服务器信息: localhostrn 调用方进程 ID: 5220rn 源网络地址: -rn 源端口: -rnrn-----------------------------------------------------------------------rnrn成功的网络登录:rn 用户名: web1iisuserrn 域: MYSERVERrn 登录 ID: (0x0,0x3160465)rn 登录类型: 8rn 登录过程: Advapi rn 身份验证数据包: Negotiatern 工作站名: MYSERVERrn 登录 GUID: -rn 调用方用户名: NETWORK SERVICErn 调用方域: NT AUTHORITYrn 调用方登录 ID: (0x0,0x3E4)rn 调用方进程 ID: 5220rn 传递服务: -rn 源网络地址: -rn 源端口: -rnrn-----------------------------------------------------------------------rnrn已经退出某过程:rn 进程 ID: 2972rn 图像文件名: C:\WINDOWS\system32\inetsrv\w3wp.exern 用户名: NETWORK SERVICErn 域: NT AUTHORITYrn 登录 ID: (0x0,0x3E4)rnrnrn---------------------------------------------------------------------rnrn用户注销:rn 用户名: web1iisuserrn 域: MYSERVERrn 登录 ID: (0x0,0x2C83C)rn 登录类型: 8rnrn-----------------------------------------------------------------------rnrn用户注销:rn 用户名: web1iisuserrn 域: MYSERVERrn 登录 ID: (0x0,0x1112E01)rn 登录类型: 8rnrnrn-----------------------------------------------------------------------rnrnWindows 已经检测到一个应用程序正在侦听传入流量。 rn rn名称: - rn路径: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe rn进程标识符: 1064 rn用户帐户: SYSTEM rn用户域: NT AUTHORITY rn服务: 是 rnRPC 服务器: 否 rnIP 版本: IPv4 rnIP 协议: TCP rn端口号: 21027 rn允许的: 否 rn通知用户的: 否rnrnrn-----------------------------------------------------------------------rnrnWindows 已经检测到一个应用程序正在侦听传入流量。 rn rn名称: - rn路径: C:\WINDOWS\system32\svchost.exe rn进程标识符: 792 rn用户帐户: SYSTEM rn用户域: NT AUTHORITY rn服务: 是 rnRPC 服务器: 否 rnIP 版本: IPv4 rnIP 协议: UDP rn端口号: 3647 rn允许的: 否 rn通知用户的: 否rnrn-----------------------------------------------------------------------rn尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0rn 登录帐户: iisuser1.netrn 源工作站: MYSERVERrn 错误代码: 0x0rnrn-----------------------------------------------------------------------rn使用明确凭据的登录尝试:rn 登录的用户:rn 用户名: NETWORK SERVICErn 域: NT AUTHORITYrn 登录 ID: (0x0,0x3E4)rn 登录 GUID: -rn 凭据被使用的用户:rn 目标用户名: iisuser1.netrn 目标域: MYSERVERrn 目标登录 GUID: -rnrn 目标服务器名称: localhostrn 目标服务器信息: localhostrn 调用方进程 ID: 5220rn 源网络地址: -rn 源端口: -rnrnrn-----------------------------------------------------------------------rnrn成功的网络登录:rn 用户名: iisuser1.netrn 域: MYSERVERrn 登录 ID: (0x0,0x3161863)rn 登录类型: 8rn 登录过程: Advapi rn 身份验证数据包: Negotiatern 工作站名: MYSERVERrn 登录 GUID: -rn 调用方用户名: NETWORK SERVICErn 调用方域: NT AUTHORITYrn 调用方登录 ID: (0x0,0x3E4)rn 调用方进程 ID: 5220rn 传递服务: -rn 源网络地址: -rn 源端口: -rnrnrn-----------------------------------------------------------------------rnrn用户注销:rn 用户名: iisuser1.netrn 域: MYSERVERrn 登录 ID: (0x0,0x2C169)rn 登录类型: 8rnrnrn-----------------------------------------------------------------------rnrnrnrn
入侵Windows服务器的流程
一般情况下,黑客往往喜欢通过文章的上所示的流程图对Windows服务器进行攻击,从而提高入侵服务器的效率。 ·通过端口139进入共享磁盘。139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享。开启139端口虽然可以提供共享服务,但常常被攻击者所利用进行攻击,如使用流光、SuperScan等端口扫描工具可以扫描目标计算机的139端口,如
我的系统被入侵了!!!
我有一个网站是支持ASP的,网上有一个新闻模块,我自已做了一个后台发布新闻系统,可以在线发布新闻,不过首先要登陆,登陆时出现一个输入用户名和密码的页面.rn我的检查密码的程序代码如下:rnrn<% if session("web_user")<>"ok" thenrn rn user=trim(request.form("user")) '这是从登陆界面获取输入的用户名rn pass=trim(request.form("pass")) '这是从登陆界面获取输入的密码rnrn' 这里因为只有我一人用这个系统所以我是通过下面的方式来设定用户名和密码的rnrn if (user="admin" and pass="why") then '通过检查rn session.timeout=50rn session("web_user")="ok" rn elsern response.redirect "error.htm"rn end ifrnrn end ifrn %>rnrn不知这一段代码哪时有漏洞,今天下午我发现我的网站有人进入了我的后台新闻发布系统,并将我的新闻给删除了!唉...rnrn我看了半天也没有看出是哪里出了问题让别人进入我的后台系统,rn你能帮我检查一下吗?rnrn谢谢!
我的机器被入侵了
今天早上 我查看日志文件 到系统的system32目录下 看不到logFile文件夹和其他的文件夹 都是些dat,dll,log的 文件,以前能看得到的。 我看到 system32文件夹 是在 10.6:23:14被修改过的 ,请高手帮忙怎样找到 logFile 文件夹。和查到入侵者的踪迹。
服务器被黑客入侵,怎么办?
我的朋友他们公司的服务器(操作系统是windows 2000 server)被黑客入侵了,而且还在服务器上安装了"精灵远程控制"这个软件,他大肆使用了服务器的资源,不知道也许已经获取了公司的数据,因为在这个服务器上还安装了SQL SERVER 2000数据库管理系统。请朋友们都来帮我想想办法,看在不格式化硬盘的情况下有什么办法可以赶走黑客,干掉的"精灵远程控制",我想了许多办法都无法除掉这个软件,包括新版norton也杀不掉它!在这我先多谢了!
急!急!服务器被入侵!
我的服务被入侵后,(2003系统)注册表管理器,任务管理器,有及命令行这些都不能正常使用,在运行中打入cmd,命令行窗体跳出只显示器1秒钟,马上自动关闭!任务管理器,和注册表管理器均是这样,望大家能帮忙!!!!!怎么解决,只有重装系统吗?
Windows Server 2012之集成的ISCSI目标服务器
在 Windows Server 2012 中,iSCSI Software Target 可作为“文件和存储服务”角色下的内置功能使用,而不是作为单独的可下载附件使用。这使部署和保持最新功能变得更加容易。作为一个内置功能,将结合服务器管理器一起提供整体的管理体验。 演示环境:两台安装Windows Server 2012的虚拟机 服务器:Dcsrv,dc,DNS,hb...
windows server 2012 配置文件服务器共享问题
windows server 2012 配置文件服务器 新建共享向导 ,我要将D盘上面的一个 公司共享文件 共享出去,但是系统提示错误:rn无法连接到D$管理共享以验证文件夹 “D:\公司共享文件 在计算机”WIN-S1642BUN205"上是否存在。rn[img=https://img-bbs.csdn.net/upload/201902/20/1550654074_371705.jpg][/img]rn请问下要如何解决?
Windows server R2 2012 iis+php+mysql服务器环境安装
Windows server 2012 iis+php+mysql 服务器环境安装 thinkphp 500错误解决
在IBM服务器安装Windows server 2012的心得
前些日子,由于连接服务器时卡顿、没有反应,我把服务器强制重启了,之后很不幸地,系统开机进入界面后,不断地转圈圈,一段时间后提示“你的电脑遇到问题,需要重新启动。我们只收集某些错误信息,然后为你重新启动”,然后就卡在那个界面,进不去系统……重复了十几遍仍是如此,于是乎考虑重装系统。然而整个过程,让我花费了一天的功夫,有些心力憔悴,于是记录下来。 首先,我有在个人笔记本上U盘安装电脑的经验。但是不知
服务器是如何被入侵的
在了解服务器是如何被入侵的之前,先来复习一下各种概念性问题(大屌绕过) 1:小鸡们都知道服务器提供各种服务供客户端使用,那么此时服务器是如何与客户端通信的那? 依靠的是端口,攻击者入侵也是靠端口。 所以有一个必要条件就是攻击者的计算机与服务器必须正常通信!!! 2:什么是web? web是互联网的总称,web的本意是蜘蛛网和网的意思,在网页设计中我们称为网页意思。
Windows server 2012体验之服务器池管理
Windows server 2012不仅仅是一款操作系统,更是构建动态数据中心,私有云的一款利器。Windows server 2012的服务器池管理功能大大简化了管理员管理多台服务器的负担,关于此功能早有耳闻,今天也体验了一下。 我的环境中现在有多台Windowsserver 2012服务器,我现在想从一个位置对其进行集中管理。 首先我打开服务器管理器,选择所有服务器并右击,选择“添加服务...
Windows Server 2012之ISCSI目标服务器群集
  技术 参考:Windows Server 2012之集成的ISCSI目标服务器。 Windows Server 2008 R2 之二十九故障转移群集 本实验使用三台虚拟机,相关配置如下图。 结点计算机Node1、Node2上都安装有两块网块。前期群集的相关网络设置参见上面的技术参考。 一、在Dcsrv安装“Iscsi目标服务器”角色,创建Iscsi目标,增加两块虚拟磁盘。 操作...
Windows Server 2012 R2 RADIUS服务器的配置
如果网络内有多台远程访问服务器或VPN服务器,则可以将这些服务器验证用户身份的工作,转给RADIUS服务器或RADIUS代理服务器来集中进行,这样既可以提高网络设计的安全性又可以集中管理用户,减轻管理员工作负担。
服务器被入侵检查步骤
服务器被入侵检查步骤 查看/etc/passwd和/etc/shadow文件是否有可疑账号 查找服务器登录日志记录 核心启动日志:/var/log/dmesg系统报错日志:/var/log/messages邮件系统日志:/var/log/maillogFTP系统日志:/var/log/xferlog安全信息和系统登录与网络连接的信息:/var/log/secure 登录记录:/var/log...
服务器总被入侵怎么办?
我们的windows2003服务器,上面有IIS、mysql、sql2005或者2000,经常发现额外的用户。rnIIS上面,能上传文件的文件夹执行权限也关了。rn请问有没有什么软件可以查找服务器漏洞?或者装什么防火墙比较好?rn请各位高手指点一二,谢谢!
Windows2003服务器被入侵!!!求救!
Windows2003 Server 打完了所有补丁rnrn被人在里面建立用户并且还是administrators 组里的 还在里面安装了rnrnIris 4.00.2 注册版rnrnWinPcap3.1 rnrnSuper Browerrnrn还有一个清除系统垃圾文件bat rnrn我现在随时改administrator的密码 端口 但是他都能进 网络上一般的方法我都试过  好象真的没有用rnrn小弟,真不知道该怎么办了,求救!rn
相关热词 c# 标准差 计算 c#siki第五季 c#入门推荐书 c# 解码海康数据流 c# xml的遍历循环 c# 取 查看源码没有的 c#解决高并发 委托 c#日期转化为字符串 c# 显示问号 c# 字典对象池