各位专家救命啊,服务器被黑客控制了,还给我发消息,帮帮忙啊,多谢!
我用远程桌面进行管理,不一会就提示有另一个登录,而我就自动退出。 我再进行远程登录,不一会又出现这个情况。
然后我再登录, 忽然就有一个消息提示框, 说 : bu wan le
系统用户里被加入了 yyc 用户,删除了以后还是能加进来
而且看日志 用了用户名 WOSHISHUI$ 这个带$ 的用户从来没见过啊~~~~,搜索引擎还不能搜索$
以下是 系统事件:
=======================================================
受信任的登录过程已经在本地安全机制机构注册。 将信任这个登录过程来提交登录申请。
登录过程名: Winlogon\MSGina
=======================================================
指派给新登录的特殊权限:
用户名: yyc
域: WOSHISHUI
登录 ID: (0x0,0x2FC8C1)
特权: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
=======================================================
登录成功:
用户名: yyc
域: WOSHISHUI
登录 ID: (0x0,0x2FC8C1)
登录类型: 10
登录进程: User32
身份验证数据包: Negotiate
工作站名: WOSHISHUI 登录 GUID: -
调用方用户名: WOSHISHUI$
调用方域: WORKGROUP
调用方登录 ID: (0x0,0x3E7)
调用方进程 ID: 3568
传递服务: -
源网络地址: 124.171.221.178
源端口: 4720
=======================================================
使用明确凭据的登录尝试:
登录的用户:
用户名: WOSHISHUI$
域: WORKGROUP
登录 ID: (0x0,0x3E7)
登录 GUID: -
凭据被使用的用户:
目标用户名: yyc
目标域: WOSHISHUI
目标登录 GUID: -
目标服务器名称: localhost
目标服务器信息: localhost
调用方进程 ID: 3568
源网络地址: 124.171.221.178
源端口: 4720
=======================================================
用户:S-1-5-21-1143463164-3768803249-1987012963-1019
登录成功:
用户名: yyc
域: WOSHISHUI
登录 ID: (0x0,0x2FC8C1)
登录类型: 10
登录进程: User32
身份验证数据包: Negotiate
工作站名: WOSHISHUI
登录 GUID: -
调用方用户名: WOSHISHUI$
调用方域: WORKGROUP
调用方登录 ID: (0x0,0x3E7)
调用方进程 ID: 3568
=======================================================
用户:S-1-5-21-1143463164-3768803249-1987012963-1019
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户: yyc
源工作站: WOSHISHUI
错误代码: 0x0
=======================================================