网上冲浪 | 反毒杀毒 | 菜鸟进阶 | 网络安全 | 实用技术 | 网络安全 | 操作系统 |
工具软件 | 电脑医院 | 网上赚钱 | 网页制作 | 网络营销 | 经典教程 | IT趣 谈 |
当前位置:IT快活林网上冲浪局域网技术

紧急求助。。。大家注意帮帮我。。。安全日志

<<<
我的是WINDOWS 2000 SERVER 是有WINS ,DHCP,DNS,MAILSERVER(CMAILSERVER)现在有大量一下信息。。。请问是被入侵了。。对不?我查了好多资料没有确定的答案。。谢谢。。。。(welcome232@hotmail.com QQ:43145157)
安全日志如下:
指派给新登录的特殊权限:
用户名:
域:
登录 ID: (0x0,0x149B00)
已指派: SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeChangeNotifyPrivilege



成功的网络登录:
用户名: WX$
域: WXYCTC
登录 ID: (0x0,0x1494DA)
登录类型: 3
登录过程: Kerberos
身份验证程序包: Kerberos
工作站名:
授予的服务票卡:
用户名: WX$
用户域: WXYCTC.COM
服务名: WX$
服务 ID: WXYCTC\WX$
票卡选项: 0x40810010
票卡加密类型: 0x17
客户端地址: 127.0.0.1
用户注销:
用户名: WX$
域: WXYCTC
登录 ID: (0x0,0x1494DA)
登录类型: 3
成功的网络登录:
用户名: WX$
域: WXYCTC
登录 ID: (0x0,0x147D12)
登录类型: 3
登录过程: Kerberos
身份验证程序包: Kerberos
工作站名:

指派给新登录的特殊权限:
用户名:
域:
登录 ID: (0x0,0x147CCD)
已指派: SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeChangeNotifyPrivilege
一天详细日志见附件

[ 本帖最后由 mashengcai 于 2007-8-29 09:18 编辑 ]
附件:

====================快活林===================

WX$,應該是隱藏的用戶名,妳是否創建有" WX$ "用戶名?

====================快活林===================

我没有设置安全帐户,但是我在注册表里看过了没有这个帐户啊

====================快活林===================

这样看日志也看不出来什么,因为我们也不知道你的服务器是如何配置的。

====================快活林===================

我的服务器安全策略我设置错了,现在无法打开,但是我知道出 错在那里,去他的验证我这里没有,域里我不让他们登陆。。。帐户只有两个,是我自己用的,其他人在域外。。。

====================快活林===================

@汪洋之船@ 09:21:47
我看过注册表,没有哪个帐户啊

@汪洋之船@ 09:22:40

但是哪个登陆注销一直在。。。而且很频繁
無名 09:22:59
如果妳沒有創建這個帳號,并且日志中确實是這樣顯示的,那就證明極有可能被入侵了
無名 09:23:25
可能被植入木馬了
無名 09:23:28
殺一下毒試試.
@汪洋之船@ 09:25:19
杀过了。。。什么也没有发现啊
@汪洋之船@ 09:25:42
杀毒软件一点用也没有啊
無名 09:25:55
換個殺毒的試試.
@汪洋之船@ 09:25:57
我想装防火墙。。。看看是否有问题
@汪洋之船@ 09:26:01
我有两个啊
無名 09:26:14
防火牆,當然好呀.
無名 09:26:27
微軟的ISA就挺不錯,軟件防火牆,企業級的
無名 09:26:33
就是設置麻煩...
@汪洋之船@ 09:26:51
一个是瑞星和ewido
@汪洋之船@ 09:27:14
我查的资料有些说是正常,但是我在以前从来没有过啊。。。
無名 09:27:17
裝個瑞星2007
@汪洋之船@ 09:27:26
而且我换了系统也是
@汪洋之船@ 09:27:47
哪个是我没有办法才去这样做的了

@汪洋之船@ 09:27:55
我的是2007
@汪洋之船@ 09:27:59
可以升级的
無名 09:28:11
但是WX$,這個用戶名,确實比較可疑.
@汪洋之船@ 09:28:11
而且用了已经有两年了啊。。。
@汪洋之船@ 09:28:19
是的,我也看了啊。。。
無名 09:28:21
正常情況下,系統是不會創建這樣隱藏的用戶名的
無名 09:28:26
除非人工自己創建的.
@汪洋之船@ 09:28:34
你看看我的日志。。

@汪洋之船@ 09:28:51
你现在下载下来看看





@汪洋之船@ 09:29:12
我是不会去建立那里帐户的,没有必要啊。。。
無名 09:29:23
對嘛...所以才可疑.
@汪洋之船@ 09:30:44
但是我在以前的帐户在正常的时候也扫到过这个帐户啊。。。
@汪洋之船@ 09:30:54
我感觉有点奇怪。。。
@汪洋之船@ 09:31:07
无法删除,用木马清道夫也不可以啊

無名 09:31:12
一直在重復"登陸/注銷".
@汪洋之船@ 09:31:16
是的了
@汪洋之船@ 09:31:28
我没有动过,他也这样了。。
@汪洋之船@ 09:31:34
我看的头痛
無名 09:33:36
我的機器上沒有 xxx$之類的用戶名
@汪洋之船@ 09:33:51
我头真的大了。。。
無名 09:33:59
呵呵...
無名 09:34:12
如果要沒什麼,就重裝系統,
然後安裝個防火牆.
@汪洋之船@ 09:34:34
看样子我只能用防火墙看看了。。。我这里的连接查看声没有可以的IP登陆情况啊
@汪洋之船@ 09:34:57
但是这个系统是我刚换过的啊
無名 09:35:25
原版系統?
無名 09:35:36
win2k是吧?
@汪洋之船@ 09:35:37
我正版的光盘无法读取,用了一个下载的。。。但是SN和加密盘都可以用啊
@汪洋之船@ 09:35:42
是的是我的2K
無名 09:36:00
不行的話,妳可以換WIN2K3試試.

@汪洋之船@ 09:36:12
就是多了一个Virtual Cable Tester
無名 09:36:40
這個不是系統自帶的吧?
@汪洋之船@ 09:36:46
WIN 3我这里没有正版的,买的话公司肯定不答应的
@汪洋之船@ 09:37:06
我原来的不带,现在下载的就是多了个这个啊
無名 09:37:08
網上可以DOWN正版的安裝程序
只需要找一個正版的序列號就成.
@汪洋之船@ 09:37:56
其他的就一样啊,还有一个是,我的这个系统用开始里的升级无法升级,到控制面板里的生机也不可以在左边的升级才可以用。。。
@汪洋之船@ 09:38:22
我的是正版SN啊,加密盘也是正版的
無名 09:38:26
我陞級,都是登陸windows update的
@汪洋之船@ 09:38:44
我直接用系统自带的哪个的

====================快活林===================

瑞星你也敢用啊。

请问,你使用安全模式看过了吗?

还有,你使用的是什么系统,用的是默认的管理帐户登录吗?默认管理帐户权限是否被修改,是否有可疑端口,或者可以程序加载。

====================快活林===================

瑞星是不好用,我目前就是这个两个可以升级的啊,我的是win 2000 server,默认帐户已经更改,权限没有改,是原来的。。。加载正常,我看过了

====================快活林===================

那你备份一下吧,然后删除可疑帐户,再运行几天看吧。

====================快活林===================

<<<
<<<<

[]作者:IT快活林  来源:IT快活整理  
日收入过300的方法,信不信也得看完 麻烦您再把腿张开一点,我插不进去