5,655
社区成员
发帖
与我相关
我的任务
分享我的服务器是否被入侵了呀
各份前辈们,我的服务上个星期被人删改数据库,后来恢复后一重启就要注册vbscript.dll,有时候网站会停止,提示是“请求资源正在使用中”,要重新注册VBscript.dll才能正常运行,iisuser1.net,web1iisuser都是我网站的匿名访问用户,我的系统日志是这样的。
-----------------------------------------------------------------------
Windows 已经检测到一个应用程序正在侦听传入流量。
名称: -
路径: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
进程标识符: 1064
用户帐户: SYSTEM
用户域: NT AUTHORITY
服务: 是
RPC 服务器: 否
IP 版本: IPv4
IP 协议: UDP
端口号: 3631
允许的: 否
通知用户的: 否
-----------------------------------------------------------------------
Windows 已经检测到一个应用程序正在侦听传入流量。
名称: -
路径: C:\WINDOWS\system32\svchost.exe
进程标识符: 792
用户帐户: SYSTEM
用户域: NT AUTHORITY
服务: 是
RPC 服务器: 否
IP 版本: IPv4
IP 协议: UDP
端口号: 3633
允许的: 否
通知用户的: 否
-----------------------------------------------------------------------
Windows 已经检测到一个应用程序正在侦听传入流量。
名称: -
路径: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
进程标识符: 1064
用户帐户: SYSTEM
用户域: NT AUTHORITY
服务: 是
RPC 服务器: 否
IP 版本: IPv4
IP 协议: TCP
端口号: 21073
允许的: 否
通知用户的: 否
-----------------------------------------------------------------------
Windows 已经检测到一个应用程序正在侦听传入流量。
名称: -
路径: C:\WINDOWS\system32\svchost.exe
进程标识符: 792
用户帐户: SYSTEM
用户域: NT AUTHORITY
服务: 是
RPC 服务器: 否
IP 版本: IPv4
IP 协议: UDP
端口号: 3636
允许的: 否
通知用户的: 否
-----------------------------------------------------------------------
Windows 已经检测到一个应用程序正在侦听传入流量。
名称: -
路径: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
进程标识符: 1064
用户帐户: SYSTEM
用户域: NT AUTHORITY
服务: 是
RPC 服务器: 否
IP 版本: IPv4
IP 协议: UDP
端口号: 3639
允许的: 否
通知用户的: 否
-----------------------------------------------------------------------
Windows 已经检测到一个应用程序正在侦听传入流量。
名称: -
路径: C:\WINDOWS\system32\svchost.exe
进程标识符: 792
用户帐户: SYSTEM
用户域: NT AUTHORITY
服务: 是
RPC 服务器: 否
IP 版本: IPv4
IP 协议: UDP
端口号: 3641
允许的: 否
通知用户的: 否
-----------------------------------------------------------------------
已经创建新的过程:
新的进程 ID: 5220
映像文件名: C:\WINDOWS\system32\inetsrv\w3wp.exe
创建者进程 ID: 1860
用户名: MYSERVER$
域: WORKGROUP
登录 ID: (0x0,0x3E7)
-----------------------------------------------------------------------
分派给进程一个主令牌。
分配进程信息:
进程 ID: 1860
图像文件名: C:\WINDOWS\system32\svchost.exe
主用户名: MYSERVER$
主域: WORKGROUP
主登录 ID: (0x0,0x3E7)
新进程信息:
进程 ID: 5220
图像文件名: C:\WINDOWS\system32\inetsrv\w3wp.exe
目标用户名: NETWORK SERVICE
目标域: NT AUTHORITY
目标登录 ID: (0x0,0x3E4)
-----------------------------------------------------------------------
Windows 已经检测到一个应用程序正在侦听传入流量。
名称: -
路径: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
进程标识符: 1064
用户帐户: SYSTEM
用户域: NT AUTHORITY
服务: 是
RPC 服务器: 否
IP 版本: IPv4
IP 协议: TCP
端口号: 21040
允许的: 否
通知用户的: 否
-----------------------------------------------------------------------
Windows 已经检测到一个应用程序正在侦听传入流量。
名称: -
路径: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
进程标识符: 1064
用户帐户: SYSTEM
用户域: NT AUTHORITY
服务: 是
RPC 服务器: 否
IP 版本: IPv4
IP 协议: UDP
端口号: 3643
允许的: 否
通知用户的: 否
-----------------------------------------------------------------------
Windows 已经检测到一个应用程序正在侦听传入流量。
名称: -
路径: C:\WINDOWS\system32\svchost.exe
进程标识符: 792
用户帐户: SYSTEM
用户域: NT AUTHORITY
服务: 是
RPC 服务器: 否
IP 版本: IPv4
IP 协议: UDP
端口号: 3645
允许的: 否
通知用户的: 否
-----------------------------------------------------------------------
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户: web1iisuser
源工作站: MYSERVER
错误代码: 0x0
-----------------------------------------------------------------------
使用明确凭据的登录尝试:
登录的用户:
用户名: NETWORK SERVICE
域: NT AUTHORITY
登录 ID: (0x0,0x3E4)
登录 GUID: -
凭据被使用的用户:
目标用户名: web1iisuser
目标域: MYSERVER
目标登录 GUID: -
目标服务器名称: localhost
目标服务器信息: localhost
调用方进程 ID: 5220
源网络地址: -
源端口: -
-----------------------------------------------------------------------
成功的网络登录:
用户名: web1iisuser
域: MYSERVER
登录 ID: (0x0,0x3160465)
登录类型: 8
登录过程: Advapi
身份验证数据包: Negotiate
工作站名: MYSERVER
登录 GUID: -
调用方用户名: NETWORK SERVICE
调用方域: NT AUTHORITY
调用方登录 ID: (0x0,0x3E4)
调用方进程 ID: 5220
传递服务: -
源网络地址: -
源端口: -
-----------------------------------------------------------------------
已经退出某过程:
进程 ID: 2972
图像文件名: C:\WINDOWS\system32\inetsrv\w3wp.exe
用户名: NETWORK SERVICE
域: NT AUTHORITY
登录 ID: (0x0,0x3E4)
---------------------------------------------------------------------
用户注销:
用户名: web1iisuser
域: MYSERVER
登录 ID: (0x0,0x2C83C)
登录类型: 8
-----------------------------------------------------------------------
用户注销:
用户名: web1iisuser
域: MYSERVER
登录 ID: (0x0,0x1112E01)
登录类型: 8
-----------------------------------------------------------------------
Windows 已经检测到一个应用程序正在侦听传入流量。
名称: -
路径: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
进程标识符: 1064
用户帐户: SYSTEM
用户域: NT AUTHORITY
服务: 是
RPC 服务器: 否
IP 版本: IPv4
IP 协议: TCP
端口号: 21027
允许的: 否
通知用户的: 否
-----------------------------------------------------------------------
Windows 已经检测到一个应用程序正在侦听传入流量。
名称: -
路径: C:\WINDOWS\system32\svchost.exe
进程标识符: 792
用户帐户: SYSTEM
用户域: NT AUTHORITY
服务: 是
RPC 服务器: 否
IP 版本: IPv4
IP 协议: UDP
端口号: 3647
允许的: 否
通知用户的: 否
-----------------------------------------------------------------------
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户: iisuser1.net
源工作站: MYSERVER
错误代码: 0x0
-----------------------------------------------------------------------
使用明确凭据的登录尝试:
登录的用户:
用户名: NETWORK SERVICE
域: NT AUTHORITY
登录 ID: (0x0,0x3E4)
登录 GUID: -
凭据被使用的用户:
目标用户名: iisuser1.net
目标域: MYSERVER
目标登录 GUID: -
目标服务器名称: localhost
目标服务器信息: localhost
调用方进程 ID: 5220
源网络地址: -
源端口: -
-----------------------------------------------------------------------
成功的网络登录:
用户名: iisuser1.net
域: MYSERVER
登录 ID: (0x0,0x3161863)
登录类型: 8
登录过程: Advapi
身份验证数据包: Negotiate
工作站名: MYSERVER
登录 GUID: -
调用方用户名: NETWORK SERVICE
调用方域: NT AUTHORITY
调用方登录 ID: (0x0,0x3E4)
调用方进程 ID: 5220
传递服务: -
源网络地址: -
源端口: -
-----------------------------------------------------------------------
用户注销:
用户名: iisuser1.net
域: MYSERVER
登录 ID: (0x0,0x2C169)
登录类型: 8
-----------------------------------------------------------------------
-----------------------------------------------------------------------
Windows 已经检测到一个应用程序正在侦听传入流量。
名称: -
路径: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
进程标识符: 1064
用户帐户: SYSTEM
用户域: NT AUTHORITY
服务: 是
RPC 服务器: 否
IP 版本: IPv4
IP 协议: UDP
端口号: 3631
允许的: 否
通知用户的: 否
-----------------------------------------------------------------------
Windows 已经检测到一个应用程序正在侦听传入流量。
名称: -
路径: C:\WINDOWS\system32\svchost.exe
进程标识符: 792
用户帐户: SYSTEM
用户域: NT AUTHORITY
服务: 是
RPC 服务器: 否
IP 版本: IPv4
IP 协议: UDP
端口号: 3633
允许的: 否
通知用户的: 否
-----------------------------------------------------------------------
Windows 已经检测到一个应用程序正在侦听传入流量。
名称: -
路径: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
进程标识符: 1064
用户帐户: SYSTEM
用户域: NT AUTHORITY
服务: 是
RPC 服务器: 否
IP 版本: IPv4
IP 协议: TCP
端口号: 21073
允许的: 否
通知用户的: 否
-----------------------------------------------------------------------
Windows 已经检测到一个应用程序正在侦听传入流量。
名称: -
路径: C:\WINDOWS\system32\svchost.exe
进程标识符: 792
用户帐户: SYSTEM
用户域: NT AUTHORITY
服务: 是
RPC 服务器: 否
IP 版本: IPv4
IP 协议: UDP
端口号: 3636
允许的: 否
通知用户的: 否
-----------------------------------------------------------------------
Windows 已经检测到一个应用程序正在侦听传入流量。
名称: -
路径: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
进程标识符: 1064
用户帐户: SYSTEM
用户域: NT AUTHORITY
服务: 是
RPC 服务器: 否
IP 版本: IPv4
IP 协议: UDP
端口号: 3639
允许的: 否
通知用户的: 否
-----------------------------------------------------------------------
Windows 已经检测到一个应用程序正在侦听传入流量。
名称: -
路径: C:\WINDOWS\system32\svchost.exe
进程标识符: 792
用户帐户: SYSTEM
用户域: NT AUTHORITY
服务: 是
RPC 服务器: 否
IP 版本: IPv4
IP 协议: UDP
端口号: 3641
允许的: 否
通知用户的: 否
-----------------------------------------------------------------------
已经创建新的过程:
新的进程 ID: 5220
映像文件名: C:\WINDOWS\system32\inetsrv\w3wp.exe
创建者进程 ID: 1860
用户名: MYSERVER$
域: WORKGROUP
登录 ID: (0x0,0x3E7)
-----------------------------------------------------------------------
分派给进程一个主令牌。
分配进程信息:
进程 ID: 1860
图像文件名: C:\WINDOWS\system32\svchost.exe
主用户名: MYSERVER$
主域: WORKGROUP
主登录 ID: (0x0,0x3E7)
新进程信息:
进程 ID: 5220
图像文件名: C:\WINDOWS\system32\inetsrv\w3wp.exe
目标用户名: NETWORK SERVICE
目标域: NT AUTHORITY
目标登录 ID: (0x0,0x3E4)
-----------------------------------------------------------------------
Windows 已经检测到一个应用程序正在侦听传入流量。
名称: -
路径: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
进程标识符: 1064
用户帐户: SYSTEM
用户域: NT AUTHORITY
服务: 是
RPC 服务器: 否
IP 版本: IPv4
IP 协议: TCP
端口号: 21040
允许的: 否
通知用户的: 否
-----------------------------------------------------------------------
Windows 已经检测到一个应用程序正在侦听传入流量。
名称: -
路径: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
进程标识符: 1064
用户帐户: SYSTEM
用户域: NT AUTHORITY
服务: 是
RPC 服务器: 否
IP 版本: IPv4
IP 协议: UDP
端口号: 3643
允许的: 否
通知用户的: 否
-----------------------------------------------------------------------
Windows 已经检测到一个应用程序正在侦听传入流量。
名称: -
路径: C:\WINDOWS\system32\svchost.exe
进程标识符: 792
用户帐户: SYSTEM
用户域: NT AUTHORITY
服务: 是
RPC 服务器: 否
IP 版本: IPv4
IP 协议: UDP
端口号: 3645
允许的: 否
通知用户的: 否
-----------------------------------------------------------------------
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户: web1iisuser
源工作站: MYSERVER
错误代码: 0x0
-----------------------------------------------------------------------
使用明确凭据的登录尝试:
登录的用户:
用户名: NETWORK SERVICE
域: NT AUTHORITY
登录 ID: (0x0,0x3E4)
登录 GUID: -
凭据被使用的用户:
目标用户名: web1iisuser
目标域: MYSERVER
目标登录 GUID: -
目标服务器名称: localhost
目标服务器信息: localhost
调用方进程 ID: 5220
源网络地址: -
源端口: -
-----------------------------------------------------------------------
成功的网络登录:
用户名: web1iisuser
域: MYSERVER
登录 ID: (0x0,0x3160465)
登录类型: 8
登录过程: Advapi
身份验证数据包: Negotiate
工作站名: MYSERVER
登录 GUID: -
调用方用户名: NETWORK SERVICE
调用方域: NT AUTHORITY
调用方登录 ID: (0x0,0x3E4)
调用方进程 ID: 5220
传递服务: -
源网络地址: -
源端口: -
-----------------------------------------------------------------------
已经退出某过程:
进程 ID: 2972
图像文件名: C:\WINDOWS\system32\inetsrv\w3wp.exe
用户名: NETWORK SERVICE
域: NT AUTHORITY
登录 ID: (0x0,0x3E4)
---------------------------------------------------------------------
用户注销:
用户名: web1iisuser
域: MYSERVER
登录 ID: (0x0,0x2C83C)
登录类型: 8
-----------------------------------------------------------------------
用户注销:
用户名: web1iisuser
域: MYSERVER
登录 ID: (0x0,0x1112E01)
登录类型: 8
-----------------------------------------------------------------------
Windows 已经检测到一个应用程序正在侦听传入流量。
名称: -
路径: C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
进程标识符: 1064
用户帐户: SYSTEM
用户域: NT AUTHORITY
服务: 是
RPC 服务器: 否
IP 版本: IPv4
IP 协议: TCP
端口号: 21027
允许的: 否
通知用户的: 否
-----------------------------------------------------------------------
Windows 已经检测到一个应用程序正在侦听传入流量。
名称: -
路径: C:\WINDOWS\system32\svchost.exe
进程标识符: 792
用户帐户: SYSTEM
用户域: NT AUTHORITY
服务: 是
RPC 服务器: 否
IP 版本: IPv4
IP 协议: UDP
端口号: 3647
允许的: 否
通知用户的: 否
-----------------------------------------------------------------------
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户: iisuser1.net
源工作站: MYSERVER
错误代码: 0x0
-----------------------------------------------------------------------
使用明确凭据的登录尝试:
登录的用户:
用户名: NETWORK SERVICE
域: NT AUTHORITY
登录 ID: (0x0,0x3E4)
登录 GUID: -
凭据被使用的用户:
目标用户名: iisuser1.net
目标域: MYSERVER
目标登录 GUID: -
目标服务器名称: localhost
目标服务器信息: localhost
调用方进程 ID: 5220
源网络地址: -
源端口: -
-----------------------------------------------------------------------
成功的网络登录:
用户名: iisuser1.net
域: MYSERVER
登录 ID: (0x0,0x3161863)
登录类型: 8
登录过程: Advapi
身份验证数据包: Negotiate
工作站名: MYSERVER
登录 GUID: -
调用方用户名: NETWORK SERVICE
调用方域: NT AUTHORITY
调用方登录 ID: (0x0,0x3E4)
调用方进程 ID: 5220
传递服务: -
源网络地址: -
源端口: -
-----------------------------------------------------------------------
用户注销:
用户名: iisuser1.net
域: MYSERVER
登录 ID: (0x0,0x2C169)
登录类型: 8
-----------------------------------------------------------------------
...全文
请发表友善的回复…
发表回复
耗子 2009-07-17
- 打赏
- 举报
本人也很关注类似问题,没找到答案。
你可以tasklist /svc|find "svchost.exe" 看看有没有非法进程先
你可以tasklist /svc|find "svchost.exe" 看看有没有非法进程先
UltraBejing 2008-05-01
- 打赏
- 举报
以后需再关注,现在先帮你顶一下
街头小贩 2008-04-16
- 打赏
- 举报
不好说
ora92 2008-04-16
- 打赏
- 举报
还Apache吧
