我的Windows Server 2012服务器是不是被入侵了?——在线等

Windows Server 2012 DataCenter
日志如下:

已成功登录帐户。

使用者:
安全 ID: SYSTEM
帐户名: LIU2012$
帐户域: WORKGROUP
登录 ID: 0x3E7

登录类型: 5

模拟级别: 模拟

新登录:
安全 ID: SYSTEM
帐户名: SYSTEM
帐户域: NT AUTHORITY
登录 ID: 0x3E7
登录 GUID: {00000000-0000-0000-0000-000000000000}

进程信息:
进程 ID: 0x1dc
进程名: C:\Windows\System32\services.exe

网络信息:
工作站名:

源网络地址: -
源端口: -

详细身份验证信息:
登录进程: Advapi

身份验证数据包: Negotiate
传递的服务: -
数据包名(仅限 NTLM): -
密钥长度: 0

创建登录会话后,在被访问的计算机上生成此事件。

“使用者”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

“登录类型”字段指明发生的登录种类。最常见的类型是 2 (交互式)和 3 (网络)。

“新登录”字段指明新登录是为哪个帐户创建的,即登录的帐户。

“网络”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。

模拟级别字段指明登录会话中的进程可以模拟的程度。

“身份验证信息”字段提供关于此特定登录请求的详细信息。
-“登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。
-“传递的服务”指明哪些中间服务参与了此登录请求。
- “数据包名”指明在 NTLM 协议之间使用了哪些子协议。
-“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0。


为新登录分配了特殊权限。

使用者:
安全 ID: SYSTEM
帐户名: SYSTEM
帐户域: NT AUTHORITY
登录 ID: 0x3E7

特权: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege

0

2个回答

如果这个登录不是你所为,或者你授权的某个程序/脚本所为,那么可能就是被入侵了。

0

这是系统进程登录,可能是你的一个程序的登录。

0
Csdn user default icon
上传中...
上传图片
插入图片
抄袭、复制答案,以达到刷声望分或其他目的的行为,在CSDN问答是严格禁止的,一经发现立刻封号。是时候展现真正的技术了!
其他相关推荐
windows服务器被黑记录
1. Booting From Hard Disk… 系统: windows server 2012 现象: 无法开机,停留在如下界面: 分析: 此为勒索病毒,中招后不能开机,且数据被加密,需要支付赎金,后对方发送解密密码。 建议: 关闭不需要的端口,安装必要的杀毒软件,周期性备份系统镜像,必要时使用镜像恢复一下即可。
Windowsserver服务器如何排查系统是否被黑?
我们在使用服务器的时候经常会遇到各种各样的攻击,有的会导致服务器卡顿、延迟甚至崩溃,更有甚者会拿来挖矿大幅度损耗机器硬件。所以我们要养成良好的使用习惯,经常检查看是否有被黑或者系统漏洞。 那么如何排查系统是否被黑? 1.存在隐藏用户或异常用户 以Windows为例,右键计算机 -> 管理 -> 查看本地用户和组,如果用户或用户组带有$符号,说明该用户/用户组被隐藏,很有可能被黑了。 2...
入侵Windows服务器的流程
一般情况下,黑客往往喜欢通过文章的上所示的流程图对Windows服务器进行攻击,从而提高入侵服务器的效率。 ·通过端口139进入共享磁盘。139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享。开启139端口虽然可以提供共享服务,但常常被攻击者所利用进行攻击,如使用流光、SuperScan等端口扫描工具可以扫描目标计算机的139端口,如
【转载】检查服务器是否有被黑客入侵
随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况供参考。 背景信息:以下情况是在CentOS 6.9的系统中查看的,其它Linux发行版类似。 1.入侵者可能会删除机器的日志信息,可以查看日志信息是否还存在或者是否被清空,相关命令示例: 2.入侵者可能创建一个新的存放用户名及密...
服务器被入侵当做挖矿肉鸡
服务器被入侵当做挖矿肉鸡 CPU使用率高 挖矿肉鸡 服务器被入侵 yam占用CPU
Windows服务器系统入侵简单流程
Windows服务器系统包括一个全面、集成的基础结构,旨在满足开发人员和信息技术(IT)专业人员的要求。此系统设计用于运行特定的程序和解决方案,借助这些程序和解决方案,信息工作人员可以快速便捷地获取、分析和共享信息。入侵者对Windows服务器系统的攻击主要是针对IIS服务器和组网协议的攻击。                                                  
记一次Windows Server 2008 服务器被植入挖矿木马处理
记一次Windows Server 2008 服务器被植入挖矿木马处理 s.exe lsass.exe wininit.exe svchost.exe
Windows Server 2012 将【我的电脑】添加到桌面图标
windows server 2012服务器一开始桌面上只有回收站一个图标,如何将【我的电脑】添加到桌面图标?1、Win+R,输入并运行:rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,0 2、弹出【桌面图标设置】,然后勾选计算机,保存即可。...
Windows Server 2012 在桌面上显示”我的电脑”
运行->cmd,在cmd窗口输入以下命令,即可选择 rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,0
linux如何判断服务器是否被入侵
centos,服务器,linux
解决windows2012server中80端口被占用
解决windows2012server中80端口被占用 1. 打开shell 2. 运行netstat -ano,可以查看到端口与对应的进程号 3. 运行tasklist, 可以查看该进程号的执行进程名称 4. 运行net stop http 5. 运行sc config http=disabled 6. 再次运行netstat -ano,检查80端口是否释放?如果没有,请重启
Windows Server 2012 在桌面上显示”我的电脑
如果是在Windows Server 2012本地控制台下,直接按Win(键盘上的微软徽标键)+R,输入: rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,0 回车后,勾选所需要的桌面图标的名称,确定即可。
如何清除windows入侵的记录
安全日志    系统日志   DNS日志默认位置:%systemroot%system32config,默认文件大小512KB,管理员都会改变这个默认大小。安全日志文件:%systemroot%system32configSecEvent.EVT   系统日志文件:%systemroot%system32configSysEvent.EVT   应用程序日志文件:%systemroot%s
win10,server 2012等系统桌面不显示我的电脑(计算机)的解决方案
在左下角开始菜单上右键-运行(或是在桌面按快捷键WIN+R),如图:在输入框输入rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,0 然后点击确定按钮,会弹出桌面图标设置界面 如图所示:勾选我的电脑(计算机),点击确定,ok,问题解决。...
Windows Server 2012 启用网络共享失败
问题: 和安装有Windows Server 2012的主机(服务器主机)同在一个网路下的其他主机无法发现此主机。 原因为服务器主机的网络发现没有被启用。 通过 控制面板》网络和共享中心》更改高级共享设置》网络发现》启用网络发现 保存更改后,无法实施该项更改。 原因: 系统服务中没有启用一下三项服务。 1.服务名称:Function Discovery Provider Ho
Windows Server 2012 在桌面上显示“我的电脑”
Windows Server 2012 在桌面上显示“我的电脑” 参考:Windows Server 2012 在桌面上显示“我的电脑” http://baijiahao.baidu.com/s?id=1602304992229638541&wfr=spider&for=pc ...
Python通过发邮件通知自己电脑被入侵
我对IT技术有着狂热的追求,虽然现在很渣,但是我有颗钻研的心,例外我还比较喜欢看小说,相信看过http://www.biquge.info/11_11851/‘>最强黑客的人对里面的黑客的技术佩服得无以复加,黑客一般对自己的电脑数据都比较在意,一般都会设置些密码等并在被破解密码后做相应的补救措施,那么我们如何知道自己的电脑被人动过或者被盗呢(假设电脑开始是关机了的),根据我最近的学习找到了实...
windows server 2012 删除IIS,解除80端口占用
打开“服务器管理器”,在右上角依次找到菜单:“管理(M)”→“删除角色和功能”, 选择IIS服务器管理器,下一步删除即可。
服务器遭黑客入侵导致网络流量异常的排查分析
服务器遭黑客入侵导致网络流量异常的排查分析   现象:下午14:00至16:00期间,网站后台编辑用户反馈CMS系统无法工作,响应极其缓慢.同一时间,就分应用也响应慢.网络与服务器架构分布:网站后台... 现象: 下午14:00至16:00期间,网站后台编辑用户反馈CMS系统无法工作,响应极其缓慢.同一时间,就分应用也响应慢. 网络与服务器架构分布:
Windows 2012系统桌面上没有我的电脑
1、WIN+R调出运行窗口;2、在运行窗口框输入     rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,0    然后点击确定按钮,勾选想要在桌面上显示的图标就OK了;
服务器入侵溯源小技巧
溯源的思路 看对方的目的是什么,就是最终目标是做什么。然后根据自己经验 看看达到这个目标 需要进行什么操作 逆推回去。看看这些过程都会留下什么日志。 下手的几个点   网站源码分析   日志分析   系统存储的信息分析   分析进程端口 网站源码文件分析 分析网站源码可以帮助我们获取网站被入侵时间, 黑客如何的 IP, 等信息, 对于接下来的日志分析有很大帮助。 1....
windows简单入侵排查
客户内网被撸了,需要援助,调查发现: 1.内部网络中,出现大量内网攻击行为,主机、服务器对内部主机进行同网段扫描,漏洞攻击; 2.内部主机对外网地址445端口进随机扫描; 3.内部主机大量访问外网恶意威胁地址; 共发现25台主机、服务器感染木马病毒 1.处置ms17-010漏洞 1.1.定位感染PC终端、服务器,永恒之蓝扫描工具 对内网进行全网扫描,定位存在漏洞...
如何防止SQLserver服务器被黑?
如何防止SQLserver服务器被黑?请阅读以下技术文章: 一、基本安全设定: (1)文件系统的设定 windows2000server 支持多种文件系统,最安全的要数NTFS文件系统,如果你的windows2000server要用作服务器,最好将所有的分区都格式化为NTFS文件系统,fat32是不能用的。 (2)补丁(pack) 目前windows2000已经到sp4了,这个大补丁一定
记一次阿里云上Redis服务器被入侵的经历
欢迎使用Markdown编辑器写博客本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I 引用 Ctrl
Windows server 2012 R2 版本安装配置 IIS --------基于腾讯云服务器搭建个人地图网站(一)
       写这篇文章的目的:是记录自己基于腾讯云服务器搭建一个别人可以访问的简易地图网站。准备工作:1,购买一个云服务器 2,远程登录服务器,配置建站环境 1)安装配置IIS、安装PHP 、安装MySQL2)配置 java jdk环境、tomcat、goserver。3)安装 postgresql、postgis。4)postgis上传shp数据、geoserver发布wms服务。5)基于 O...
服务器是如何被入侵的
在了解服务器是如何被入侵的之前,先来复习一下各种概念性问题(大屌绕过) 1:小鸡们都知道服务器提供各种服务供客户端使用,那么此时服务器是如何与客户端通信的那? 依靠的是端口,攻击者入侵也是靠端口。 所以有一个必要条件就是攻击者的计算机与服务器必须正常通信!!! 2:什么是web? web是互联网的总称,web的本意是蜘蛛网和网的意思,在网页设计中我们称为网页意思。
入侵windows服务器的一种方法
项目中的一个工具类,可以实现通过命令行入侵服务器,首先必须先在服务器上运行myserver.exe,然后通过客户端来添加账号,设置权限,远程进入,删除帐号等来进行服务器入侵
服务器被入侵后的检测过程
2012年5月22日17时许,发现公司一台非正式生产服务器(有公网IP)的root密码被修改,导致无法登陆服务器,排查处理过程如下: 1、通过vmware vcenter管理端进入单用户模式修改root密码  2、查看最近登陆信息,如下: [root@localhost home]# last  | more root     pts/5 218.247.13.60 Tue May 22 1
由1433端口入侵,浅谈sqlserver安全
前几日笔者在家里的PC上安装了Windows7旗舰版的操作系统,顺便搭了sqlserver2008和vs2010的开发环境,本打算业余时间可以方便开发、学习。可是不尽人意啊!用了不到两天,居然突然出现一个新建的系统用户,还是管理员组的。晕死了,机器让人给挂马了,成了“肉鸡,养马场”...仔细排查后(看Windows日志,sqlserver日志等),初步推断:是某位无聊的“黑客”同志,通过扫描器踩点
云服务器Windows Server2012 配置http服务器(又称Web服务器,IIS)
一、安装WEB服务器 1.选择添加角色和功能 2.一直下一步到选择web服务器 3.添加功能 4.角色服务可以按需选择,这里直接默认 5.一直下一步,耐心等待安装成功 二、配置IIS 1.安装成功后右键IIS就可以打开管理器 2.可以看到已经有默认站点了 8.新建文件夹并新建htm 9.右键网站-添加网站 这里名称可以随便起,物理路径就是刚刚建...
阿里云windows主机被尝试暴力破解解决方案
近期机器被异常登陆暴力破解,虽然目前没发生被破现象,但是查看安全日志貌似一直在攻: 让运维看了一下,发现这台机器的安全策略里面的8888端口是全网通的: 让运维将8888端口做了内网限制后,这个问题就没再出现。   一句话,端口的开放的IP地址能限制到公司内部就公司内部,如果外部确定要用的,要指定好外部Ip地址。  ...
安装windows servers 2012 r2无线网卡已禁用无法启动问题
 安装windows servers 2012 r2无线网卡已禁用无法启动问题 问题描述: 联想笔记本主机编号:EB35378303 昭阳E4430A Realtek 无线网卡设备驱动:RTL8723BE 安装windows servers 2012 r2 os 官网无与windows servers os匹配无线网卡驱动 第一步:到联想官网——服务页面:download此机型
求救 阿里云windowserver2012 下怎么进行网站的上线
我现在目前开发的项目是由node写的后台,然后不知道在windowserver2012下面该如何部署上线环境。还有怎么通过域名访问,在网上找了很多教程很多都是Linux下的,很少有Windows下的教程.求大神赐教...
Windows server 2012_远程_没有远程桌面授权服务器可以提供许可证
一、问题描述    公司dell服务器装的操作系统是Windows server 2012,有一天突然远程不了了,提示信息如下图:图片借用链接①二、问题分析    1、经过度娘,终于找到了原因。       度娘告诉我根本原因在于,server 2012 或server 2008等默认的最大远程登录链接为2个,超过这个数目需要使用licenseserver进行授权,这个授权据说是收费的,但官方给予...
入侵Tomcat服务器一次实战描述
到网上随便逛逛,我就会发现用JSP制作的电子商务网站多如牛毛,从JSP日渐繁荣的局面来看,适合于各种平台而且免费的Tomcat逐渐成为WEB服务器的一种选择。eBay.com与Dell计算机等知名网站都采用或者曾经采用Tomcat的Container容器执行Servlet 与JSP,可想而知这个服务器软件所具有的前途。那他们的安全性如何呢?一起来看看吧!  小知识:Tomcat是Sun的JS
解决Windows Server 2012 R2操作系统下将我的电脑在桌面显示的问题
解决Windows Server 2012 R2操作系统下将我的电脑在桌面显示的问题
服务器被入侵(minerd挖矿程序)
记录一次服务器被入侵的解决方法 一:问题说明 1、我的服务器是使用的阿里云的CentOS,收到的阿里云发来的提示邮件如下 然后我查看了运行的进程情况(top 命令),看到一个名为minerd的进程占用了99.5%的CPU 2、minerd是个挖矿程序,什么是“挖矿”,特此百度了一下, 所谓“挖矿”实质上是用计算机解决一项复杂的数学问题,来保证比特币网络分布式记账系统的一致性。比
sql server Windows账户被删并且sa账户被禁用解决办法
步骤: 1.      http://technet.microsoft.com/en-us/sysinternals/bb896649去这个网址下载这个文件。
Windows Server 2012 解决无法连接无线网络
刚安装的Windows Server 2012 R2,无线网卡已驱动,但不能连接无线网络上网: 打开服务器管理器,在“添加角色和功能”中添加“无线LAN服务” 1 2 3 4 5 6 7
win2012在桌面上添加我的电脑、我的文档等快捷方式
Win2012安装后,默认桌面上只有一个“回收站”,如果想在桌面上添加我的电脑等快捷方式较为麻烦,这里给大家提供一组命令,可以快速的调出win自带的设置功能。 1、打开运行对话框,Win+R键,输入:rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,0     2、回车即可调出如下设置界面
文章热词 机器学习教程 Objective-C培训 交互设计视频教程 颜色模型 设计制作学习
相关热词 mysql关联查询两次本表 native底部 react extjs glyph 图标 web入侵培训 web入侵视频教程