服务器被人攻破,请高手帮忙看下日志检查下漏洞

alisdun 2008-02-26 04:11:58
这是给非法登入过程的日志,ver用户就是非法登入的用户
在我机上装了一个爱数加密软件,将所有目录加密
请教高手帮忙查看一下是否可以查出漏洞??
还有,有人知否如何解爱数加密后的目录?有偿!!

事件类型: 审核成功
事件来源: Security
事件种类: 登录/注销
事件 ID: 538
日期: 2008-2-23
事件: 7:42:18
用户: S-1-5-21-1789883194-3000051145-1798327075-1010
计算机: XXXYSERVER
描述:
用户注销:
用户名: ver
域: XXXYSERVER
登录 ID: (0x0,0x2DBAD0F)
登录类型: 10

事件类型: 审核成功
事件来源: Security
事件种类: 登录/注销
事件 ID: 551
日期: 2008-2-23
事件: 7:41:40
用户: S-1-5-21-1789883194-3000051145-1798327075-1010
计算机: XXXYSERVER
描述:
用户要求的注销:
用户名: ver
域: XXXYSERVER
登录 ID: (0x0,0x2dbad0f)


事件类型: 审核成功
事件来源: Security
事件种类: 登录/注销
事件 ID: 540
日期: 2008-2-23
事件: 6:29:51
用户: XXXYSERVER\IUSR_XXXYSERVER
计算机: XXXYSERVER
描述:
成功的网络登录:
用户名: IUSR_XXXYSERVER
域: XXXYSERVER
登录 ID: (0x0,0x2DFEB15)
登录类型: 8
登录过程: Advapi
身份验证数据包: Negotiate
工作站名: XXXYSERVER
登录 GUID: -
调用方用户名: NETWORK SERVICE
调用方域: NT AUTHORITY
调用方登录 ID: (0x0,0x3E4)
调用方进程 ID: 2164
传递服务: -
源网络地址: -
源端口: -


事件类型: 审核成功
事件来源: Security
事件种类: 登录/注销
事件 ID: 552
日期: 2008-2-23
事件: 6:29:51
用户: NT AUTHORITY\NETWORK SERVICE
计算机: XXXYSERVER
描述:
使用明确凭据的登录尝试:
登录的用户:
用户名: NETWORK SERVICE
域: NT AUTHORITY
登录 ID: (0x0,0x3E4)
登录 GUID: -
凭据被使用的用户:
目标用户名: IUSR_XXXYSERVER
目标域: XXXYSERVER
目标登录 GUID: -

目标服务器名称: localhost
目标服务器信息: localhost
调用方进程 ID: 2164
源网络地址: -
源端口: -


事件类型: 审核成功
事件来源: Security
事件种类: 帐户登录
事件 ID: 680
日期: 2008-2-23
事件: 6:29:51
用户: XXXYSERVER\IUSR_XXXYSERVER
计算机: XXXYSERVER
描述:
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户: IUSR_XXXYSERVER
源工作站: XXXYSERVER
错误代码: 0x0


事件类型: 审核成功
事件来源: Security
事件种类: 登录/注销
事件 ID: 538
日期: 2008-2-23
事件: 6:27:59
用户: XXXYSERVER\IUSR_XXXYSERVER
计算机: XXXYSERVER
描述:
用户注销:
用户名: IUSR_XXXYSERVER
域: XXXYSERVER
登录 ID: (0x0,0x2DB1145)
登录类型: 8


事件类型: 审核成功
事件来源: Security
事件种类: 登录/注销
事件 ID: 576
日期: 2008-2-23
事件: 6:16:00
用户: S-1-5-21-1789883194-3000051145-1798327075-1010
计算机: XXXYSERVER
描述:
指派给新登录的特殊权限:
用户名:
域:
登录 ID: (0x0,0x2DBAD0F)
特权: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege

事件类型: 审核成功
事件来源: Security
事件种类: 登录/注销
事件 ID: 528
日期: 2008-2-23
事件: 6:16:00
用户: S-1-5-21-1789883194-3000051145-1798327075-1010
计算机: XXXYSERVER
描述:
登录成功:
用户名: ver
域: XXXYSERVER
登录 ID: (0x0,0x2DBAD0F)
登录类型: 10
登录进程: User32
身份验证数据包: Negotiate
工作站名: XXXYSERVER
登录 GUID: -
调用方用户名: XXXYSERVER$
调用方域: WORKGROUP
调用方登录 ID: (0x0,0x3E7)
调用方进程 ID: 3452
传递服务: -
源网络地址: 222.181.24.3
源端口: 52460

事件类型: 审核成功
事件来源: Security
事件种类: 登录/注销
事件 ID: 552
日期: 2008-2-23
事件: 6:16:00
用户: NT AUTHORITY\SYSTEM
计算机: XXXYSERVER
描述:
使用明确凭据的登录尝试:
登录的用户:
用户名: XXXYSERVER$
域: WORKGROUP
登录 ID: (0x0,0x3E7)
登录 GUID: -
凭据被使用的用户:
目标用户名: ver
目标域: XXXYSERVER
目标登录 GUID: -

目标服务器名称: localhost
目标服务器信息: localhost
调用方进程 ID: 3452
源网络地址: 222.181.24.3
源端口: 52460


事件类型: 审核成功
事件来源: Security
事件种类: 帐户登录
事件 ID: 680
日期: 2008-2-23
事件: 6:16:00
用户: S-1-5-21-1789883194-3000051145-1798327075-1010
计算机: XXXYSERVER
描述:
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户: ver
源工作站: XXXYSERVER
错误代码: 0x0

事件类型: 审核成功
事件来源: Security
事件种类: 登录/注销
事件 ID: 540
日期: 2008-2-23
事件: 5:48:56
用户: XXXYSERVER\IUSR_XXXYSERVER
计算机: XXXYSERVER
描述:
成功的网络登录:
用户名: IUSR_XXXYSERVER
域: XXXYSERVER
登录 ID: (0x0,0x2DB1145)
登录类型: 8
登录过程: Advapi
身份验证数据包: Negotiate
工作站名: XXXYSERVER
登录 GUID: -
调用方用户名: NETWORK SERVICE
调用方域: NT AUTHORITY
调用方登录 ID: (0x0,0x3E4)
调用方进程 ID: 3668
传递服务: -
源网络地址: -
源端口: -


事件类型: 审核成功
事件来源: Security
事件种类: 登录/注销
事件 ID: 552
日期: 2008-2-23
事件: 5:48:56
用户: NT AUTHORITY\NETWORK SERVICE
计算机: XXXYSERVER
描述:
使用明确凭据的登录尝试:
登录的用户:
用户名: NETWORK SERVICE
域: NT AUTHORITY
登录 ID: (0x0,0x3E4)
登录 GUID: -
凭据被使用的用户:
目标用户名: IUSR_XXXYSERVER
目标域: XXXYSERVER
目标登录 GUID: -

目标服务器名称: localhost
目标服务器信息: localhost
调用方进程 ID: 3668
源网络地址: -
源端口: -


事件类型: 审核成功
事件来源: Security
事件种类: 帐户登录
事件 ID: 680
日期: 2008-2-23
事件: 5:48:56
用户: XXXYSERVER\IUSR_XXXYSERVER
计算机: XXXYSERVER
描述:
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户: IUSR_XXXYSERVER
源工作站: XXXYSERVER
错误代码: 0x0

事件类型: 审核成功
事件来源: Security
事件种类: 登录/注销
事件 ID: 538
日期: 2008-2-23
事件: 5:29:39
用户: XXXYSERVER\IUSR_XXXYSERVER
计算机: XXXYSERVER
描述:
用户注销:
用户名: IUSR_XXXYSERVER
域: XXXYSERVER
登录 ID: (0x0,0x2DA0768)
登录类型: 8


...全文
3639 21 打赏 收藏 转发到动态 举报
AI 作业
写回复
用AI写文章
21 条回复
切换为时间正序
请发表友善的回复…
发表回复
SaintLance 2012-07-31
  • 打赏
  • 举报
回复
我也Web服务器遇到过这个问题,攻击者在我的服务器上上传了灰鸽子服务器端,杀灭之后清理了后面账户,关闭了不用的端口,就留下20,21,80,443,3389。目前不定期的有攻击者尝试使用各种账户登录,但都失败了,考虑可能是内网其它计算机也中了造成的。供楼主参考。
浪长街 2010-09-16
  • 打赏
  • 举报
回复
好郁闷哈,居然产生了4W的这样日志
aqqwa 2010-09-03
  • 打赏
  • 举报
回复
遇到个这样的问题,来学习
muddyinn 2009-11-18
  • 打赏
  • 举报
回复
我也得学习一下 快疯了都
lzw_0415 2009-10-08
  • 打赏
  • 举报
回复
像这种问题一般都是没答案的,哎,可悲!
铁马渡江河 2009-08-14
  • 打赏
  • 举报
回复
楼主怎么解决啊,贴出来让大家知道知道啊,我也遇到了
Liv2005 2008-11-08
  • 打赏
  • 举报
回复
装了SQL Server嘛?。。。只给出安全性日志。。。也很难判断出什么。。况且。。。也不知道关键的日志是否已经被清掉了。。。目前能知道的是有可能通过WebShell上传文件做本地溢出后新建了用户。。。如果有SqlServer则有可能是用了XP_cmdshell
John_Yang 2008-11-07
  • 打赏
  • 举报
回复
建议关闭不用的所有端口.

应该是被执行了ShellCode. 利用某漏洞执行了远程代码,以创建这个用户.
xy686283 2008-11-07
  • 打赏
  • 举报
回复
我也遇到这种问题,我怀疑是这个软件商在为他软件销售做工作,这种行为太卑鄙了
pstdouble 2008-09-17
  • 打赏
  • 举报
回复
我也遇到过……

帮顶……
kangken 2008-09-16
  • 打赏
  • 举报
回复
帮顶下
我也不知道
spenson 2008-09-16
  • 打赏
  • 举报
回复
我也遇到这个问题,有高手帮忙解决下吗?
jinyede 2008-08-21
  • 打赏
  • 举报
回复
回帖是一种美德
jinyede 2008-08-19
  • 打赏
  • 举报
回复
哈哈...我路过..
成君1 2008-08-06
  • 打赏
  • 举报
回复
同样关注!我也遇到这个情况!有高手吗?办我们解决下!
zjwxxd 2008-02-28
  • 打赏
  • 举报
回复
关注
alisdun 2008-02-28
  • 打赏
  • 举报
回复
是个web服务器,装了iis的

他是用network service调用了IUSER_XXXX的权限
不知道怎么创建了一个ver用户,
然后利用ver用户登入的

只是不知道他利用了什么漏洞而已
dpm520 2008-02-27
  • 打赏
  • 举报
回复
你能不能进入到系统目录下面去嘛,查看一下它的动作就知道了还有你是不是装了iis的啊?
clhposs 2008-02-27
  • 打赏
  • 举报
回复
使用明确凭据的登录尝试:
登录的用户:
用户名: XXXYSERVER$
域: WORKGROUP

你应该没有创建 用户名: XXXYSERVER$ 这个账号吧

分拿来哦

liufangbj 2008-02-27
  • 打赏
  • 举报
回复
你的系统都开放了什么应用呢?

9,513

社区成员

发帖
与我相关
我的任务
社区描述
Windows专区 安全技术/病毒
社区管理员
  • 安全技术/病毒社区
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧