我的Windows Server 2012服务器是不是被入侵了?——在线等

Windows Server 2012 DataCenter
日志如下:

已成功登录帐户。

使用者:
安全 ID: SYSTEM
帐户名: LIU2012$
帐户域: WORKGROUP
登录 ID: 0x3E7

登录类型: 5

模拟级别: 模拟

新登录:
安全 ID: SYSTEM
帐户名: SYSTEM
帐户域: NT AUTHORITY
登录 ID: 0x3E7
登录 GUID: {00000000-0000-0000-0000-000000000000}

进程信息:
进程 ID: 0x1dc
进程名: C:\Windows\System32\services.exe

网络信息:
工作站名:

源网络地址: -
源端口: -

详细身份验证信息:
登录进程: Advapi

身份验证数据包: Negotiate
传递的服务: -
数据包名(仅限 NTLM): -
密钥长度: 0

创建登录会话后,在被访问的计算机上生成此事件。

“使用者”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

“登录类型”字段指明发生的登录种类。最常见的类型是 2 (交互式)和 3 (网络)。

“新登录”字段指明新登录是为哪个帐户创建的,即登录的帐户。

“网络”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。

模拟级别字段指明登录会话中的进程可以模拟的程度。

“身份验证信息”字段提供关于此特定登录请求的详细信息。
-“登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。
-“传递的服务”指明哪些中间服务参与了此登录请求。
- “数据包名”指明在 NTLM 协议之间使用了哪些子协议。
-“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0。


为新登录分配了特殊权限。

使用者:
安全 ID: SYSTEM
帐户名: SYSTEM
帐户域: NT AUTHORITY
登录 ID: 0x3E7

特权: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege

0

2个回答

如果这个登录不是你所为,或者你授权的某个程序/脚本所为,那么可能就是被入侵了。

0

这是系统进程登录,可能是你的一个程序的登录。

0
Csdn user default icon
上传中...
上传图片
插入图片
抄袭、复制答案,以达到刷声望分或其他目的的行为,在CSDN问答是严格禁止的,一经发现立刻封号。是时候展现真正的技术了!
其他相关推荐
windows服务器被黑记录
1. Booting From Hard Disk… 系统: windows server 2012 现象: 无法开机,停留在如下界面: 分析: 此为勒索病毒,中招后不能开机,且数据被加密,需要支付赎金,后对方发送解密密码。 建议: 关闭不需要的端口,安装必要的杀毒软件,周期性备份系统镜像,必要时使用镜像恢复一下即可。
Windowsserver服务器如何排查系统是否被黑?
我们在使用服务器的时候经常会遇到各种各样的攻击,有的会导致服务器卡顿、延迟甚至崩溃,更有甚者会拿来挖矿大幅度损耗机器硬件。所以我们要养成良好的使用习惯,经常检查看是否有被黑或者系统漏洞。 那么如何排查系统是否被黑? 1.存在隐藏用户或异常用户 以Windows为例,右键计算机 -> 管理 -> 查看本地用户和组,如果用户或用户组带有$符号,说明该用户/用户组被隐藏,很有可能被黑了。 2...
入侵Windows服务器的流程
一般情况下,黑客往往喜欢通过文章的上所示的流程图对Windows服务器进行攻击,从而提高入侵服务器的效率。 ·通过端口139进入共享磁盘。139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享。开启139端口虽然可以提供共享服务,但常常被攻击者所利用进行攻击,如使用流光、SuperScan等端口扫描工具可以扫描目标计算机的139端口,如
服务器被入侵当做挖矿肉鸡
服务器被入侵当做挖矿肉鸡 CPU使用率高 挖矿肉鸡 服务器被入侵 yam占用CPU
Windows Server 2012 R2 没有我的电脑解决方法
win+R 运行 rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,0然后选择计算机 就OK了
【转载】检查服务器是否有被黑客入侵
随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况供参考。 背景信息:以下情况是在CentOS 6.9的系统中查看的,其它Linux发行版类似。 1.入侵者可能会删除机器的日志信息,可以查看日志信息是否还存在或者是否被清空,相关命令示例: 2.入侵者可能创建一个新的存放用户名及密...
Windows Server 2012 在桌面上显示“我的电脑”
Windows Server 2012 在桌面上显示“我的电脑” 参考:Windows Server 2012 在桌面上显示“我的电脑” http://baijiahao.baidu.com/s?id=1602304992229638541&wfr=spider&for=pc ...
Windows服务器系统入侵简单流程
Windows服务器系统包括一个全面、集成的基础结构,旨在满足开发人员和信息技术(IT)专业人员的要求。此系统设计用于运行特定的程序和解决方案,借助这些程序和解决方案,信息工作人员可以快速便捷地获取、分析和共享信息。入侵者对Windows服务器系统的攻击主要是针对IIS服务器和组网协议的攻击。                                                  
Windows Server 2012 在桌面上显示”我的电脑”
运行->cmd,在cmd窗口输入以下命令,即可选择 rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,0
安装windows servers 2012 r2无线网卡已禁用无法启动问题
 安装windows servers 2012 r2无线网卡已禁用无法启动问题 问题描述: 联想笔记本主机编号:EB35378303 昭阳E4430A Realtek 无线网卡设备驱动:RTL8723BE 安装windows servers 2012 r2 os 官网无与windows servers os匹配无线网卡驱动 第一步:到联想官网——服务页面:download此机型
Windows Server 2012 在桌面上显示”我的电脑
如果是在Windows Server 2012本地控制台下,直接按Win(键盘上的微软徽标键)+R,输入: rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,0 回车后,勾选所需要的桌面图标的名称,确定即可。
win10,server 2012等系统桌面不显示我的电脑(计算机)的解决方案
在左下角开始菜单上右键-运行(或是在桌面按快捷键WIN+R),如图:在输入框输入rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,0 然后点击确定按钮,会弹出桌面图标设置界面 如图所示:勾选我的电脑(计算机),点击确定,ok,问题解决。...
解决windows2012server中80端口被占用
解决windows2012server中80端口被占用 1. 打开shell 2. 运行netstat -ano,可以查看到端口与对应的进程号 3. 运行tasklist, 可以查看该进程号的执行进程名称 4. 运行net stop http 5. 运行sc config http=disabled 6. 再次运行netstat -ano,检查80端口是否释放?如果没有,请重启
windows简单入侵排查
客户内网被撸了,需要援助,调查发现: 1.内部网络中,出现大量内网攻击行为,主机、服务器对内部主机进行同网段扫描,漏洞攻击; 2.内部主机对外网地址445端口进随机扫描; 3.内部主机大量访问外网恶意威胁地址; 共发现25台主机、服务器感染木马病毒 1.处置ms17-010漏洞 1.1.定位感染PC终端、服务器,永恒之蓝扫描工具 对内网进行全网扫描,定位存在漏洞...
Windows Server 2012 将【我的电脑】添加到桌面图标
windows server 2012服务器一开始桌面上只有回收站一个图标,如何将【我的电脑】添加到桌面图标?1、Win+R,输入并运行:rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,0 2、弹出【桌面图标设置】,然后勾选计算机,保存即可。...
记一次Windows Server 2008 服务器被植入挖矿木马处理
记一次Windows Server 2008 服务器被植入挖矿木马处理 s.exe lsass.exe wininit.exe svchost.exe
如何在Windows2008/2012 Server服务器上开启Ping或者禁PING?
方法1:命令行模式 进入服务器后 点击 开始——运行 输入命令: netsh firewall set icmpsetting 8 这样就可以在外部ping到服务器了 非常简单实用! 同样道理,如果想禁止Ping,那运行如下命令即可实现: netsh firewall set icmpsetting 8 disable 方法2:防火墙高级面板方式 1. 进入控制面
服务器入侵溯源小技巧
溯源的思路 看对方的目的是什么,就是最终目标是做什么。然后根据自己经验 看看达到这个目标 需要进行什么操作 逆推回去。看看这些过程都会留下什么日志。 下手的几个点   网站源码分析   日志分析   系统存储的信息分析   分析进程端口 网站源码文件分析 分析网站源码可以帮助我们获取网站被入侵时间, 黑客如何的 IP, 等信息, 对于接下来的日志分析有很大帮助。 1....
WINDOWS SERVER 2012证书服务安装配置
证书服务CA WINDOWS SERVER 2012
快速自检电脑是否被黑客入侵过(Windows版)
https://www.pppan.net/blog/detail/2017-11-08-windows-self-check 1. 异常的日志记录 通常我们需要检查一些可疑的事件记录, 比如: “Event log service was stopped.”(事件记录服务已经停止) “Windows File Protection is not active on this
windows server 2012 删除IIS,解除80端口占用
打开“服务器管理器”,在右上角依次找到菜单:“管理(M)”→“删除角色和功能”, 选择IIS服务器管理器,下一步删除即可。
如何检查linux服务器是否被入侵
本指南中所谓的服务器被入侵或者说被黑了的意思,是指未经授权的人或程序为了自己的目的登录到服务器上去并使用其计算资源,通常会产生不好的影响。 免责声明:若你的服务器被类似 NSA 这样的国家机关或者某个犯罪集团入侵,那么你并不会注意到有任何问题,这些技术也无法发觉他们的存在。 然而,大多数被攻破的服务器都是被类似自动攻击程序这样的程序或者类似“脚本小子”这样的廉价攻击者,以及蠢蛋罪犯所入
服务器遭黑客入侵导致网络流量异常的排查分析
服务器遭黑客入侵导致网络流量异常的排查分析   现象:下午14:00至16:00期间,网站后台编辑用户反馈CMS系统无法工作,响应极其缓慢.同一时间,就分应用也响应慢.网络与服务器架构分布:网站后台... 现象: 下午14:00至16:00期间,网站后台编辑用户反馈CMS系统无法工作,响应极其缓慢.同一时间,就分应用也响应慢. 网络与服务器架构分布:
入侵windows服务器的一种方法
项目中的一个工具类,可以实现通过命令行入侵服务器,首先必须先在服务器上运行myserver.exe,然后通过客户端来添加账号,设置权限,远程进入,删除帐号等来进行服务器入侵
windows服务器应对高并发和DDOS攻击
http://blog.csdn.net/mycwq/article/details/9719407 windows系统本身就有很多机制可以用来提高性能和安全,其中有不少可以用来应对高并发请求和DDOS攻击的情况。 通过以下配置可以改善windows服务器性能: 一、应对高并发请求: 1、TCP连接延迟等待时间 TcpTim
服务器被黑该如何查找入侵、攻击痕迹
当公司的网站服务器被黑,被入侵导致整个网站,以及业务系统瘫痪,给企业带来的损失无法估量,但是当发生服务器被攻击的情况,作为服务器的维护人员应当在第一时间做好安全响应,对服务器以及网站应以最快的时间恢复正常运行,让损失减少到最低,针对于黑客攻击的痕迹应该如何去查找溯源,还原服务器被攻击的现场,SINE安全公司制定了详细的服务器被黑自查方案。 目前网站服务器被攻击的特征如下: 网站被攻击:网站被跳...
服务器被入侵后的检测过程
2012年5月22日17时许,发现公司一台非正式生产服务器(有公网IP)的root密码被修改,导致无法登陆服务器,排查处理过程如下: 1、通过vmware vcenter管理端进入单用户模式修改root密码  2、查看最近登陆信息,如下: [root@localhost home]# last  | more root     pts/5 218.247.13.60 Tue May 22 1
入侵Tomcat服务器一次实战描述
到网上随便逛逛,我就会发现用JSP制作的电子商务网站多如牛毛,从JSP日渐繁荣的局面来看,适合于各种平台而且免费的Tomcat逐渐成为WEB服务器的一种选择。eBay.com与Dell计算机等知名网站都采用或者曾经采用Tomcat的Container容器执行Servlet 与JSP,可想而知这个服务器软件所具有的前途。那他们的安全性如何呢?一起来看看吧!  小知识:Tomcat是Sun的JS
svn server 安装在 阿里云 Windows server 2012 ,在客户端连接失败,浏览器访问也失败
svn server 安装好后,客户端和浏览器都不能访问,网上查了些资料,处理了两个小时还没有找到原因,最后感觉是端口没有打开,在阿里云配置安全组规则后,可以了,遇到的问题和解决方法整理一下   1、看阿里云svn server 服务 是否启动? 2、阿里云服务器防火墙关闭。 3、SVN访问地址是否服务器地址? 4、清楚本地的svn缓存 5、在阿里云给系统添加安全组规则 ...
Windows 2012系统桌面上没有我的电脑
1、WIN+R调出运行窗口;2、在运行窗口框输入     rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,0    然后点击确定按钮,勾选想要在桌面上显示的图标就OK了;
远程桌面操作Windows服务器(2008/2012),提示“你的凭证不工作” ,登录没成功
网上的教程大同小异。首先确保服务器端是如下配置: 1、运行开始输入gpedit.msc。2、选择windows设置-安全设置-本地策略-安全选项,把网络访问:本地帐户的共享和安全模型改为经典-对本地用户进行身份验证,不改变其本来身份。 本人检查了服务器的以上配置,均无误。但远程桌面时,还是提示:“你的凭证不工作” ,登录没成功 当时无解。后来无意发现,服务器端的IP配置如下:...
Windows Server 根据端口被占用的程序
    1、windows下的DOS工具,点击"开始"--"运行",输入"cmd"后点击确定按钮,进入DOS窗口          输入:netstat -aon            2、输入您需要查询 的端口,例如:1027  netstat -aon | findstr "1027" 3、根据PID(进程号)查询被占用,例如进程号为:456输入:tasklist | findstr "456...
Windows Server 2012 R2 解决-远程桌面连接拒绝请求的会话连接
解决方法 (用于系统限制xp 和win7连接) 在运行里输入“gpedit.msc”,打开计算机本地组策略,\管理模板\Windows 组件\远程桌面服务\远程桌面会话主机\安全\    “要求使用网络级身份验证对远程连接进行用户身份验证”
记一次阿里云上Redis服务器被入侵的经历
欢迎使用Markdown编辑器写博客本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I 引用 Ctrl
在Windows服务器中安装配置SNMP代理(Windows Server 2003、2012)
在Windows服务器(Windows Server 2003)中安装配置SNMP代理1、安装SNMP服务端首先您必须确认当前的Windows组件中是否已经安装了SNMP协议,方法如下:在控制面板中选择“添加或删除程序”,在打开的对话框中选择“添加/删除Windows组件”查看已安装的Windows组件,如下图所示:查看“管理和监控工具”的详细信息,检查是否安装“简单网络管理协议(SNMP)”,如...
windows服务器让WEB通过防火墙的问题
服务器环境:windows server 2012 X64WEB服务器:IIS开放8080,PHPSduty开放80如果关闭防火墙的情况下,不论是IIS还是安装的其他的WEB服务器,都可以正常访问。但是如果一旦开始了防火墙,不管是IIS还是其他Web服务器都不能正常访问。然后看防火墙规则,添加了phpstudy并允许所有来源可以访问。启用入站规则的--branchCache(内容检测),默认对应的...
重磅-记一次惊心动魄的阿里云服务器被入侵过程定位
现象 某天登陆自己的阿里云服务器,发现有很多命名奇怪的进程:  定位步骤一:查看进程文件位置 通过命令 ll /proc/pid 查看进程文件exe执行路径,打开后整个人都惊呆了!mysql目录和mysql/data目录多了很多奇怪的so文件和可执行文件: 定位步骤二:立马kill掉进程和文件 批量kill进程:介绍一个在stackoverfl
求救 阿里云windowserver2012 下怎么进行网站的上线
我现在目前开发的项目是由node写的后台,然后不知道在windowserver2012下面该如何部署上线环境。还有怎么通过域名访问,在网上找了很多教程很多都是Linux下的,很少有Windows下的教程.求大神赐教...
Windows Server 2012中添加AD、DNS、DHCP功能角色,配置部署基础环境
Windows Server 2012中添加AD、DNS、DHCP功能角色,配置部署基础环境
win2012在桌面上添加我的电脑、我的文档等快捷方式
Win2012安装后,默认桌面上只有一个“回收站”,如果想在桌面上添加我的电脑等快捷方式较为麻烦,这里给大家提供一组命令,可以快速的调出win自带的设置功能。 1、打开运行对话框,Win+R键,输入:rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,0     2、回车即可调出如下设置界面
文章热词 设计制作学习 机器学习教程 Objective-C培训 交互设计视频教程 颜色模型
相关热词 mysql关联查询两次本表 native底部 react extjs glyph 图标 web入侵培训 web入侵视频教程