关于win2003日志、暴力破解的问题

这几天查看了日志发现服务器有被暴力攻破的迹象，但又不很肯定，贴上来请教下大家：
大致情况是每间隔一段时间（1秒~1分钟不等）就有一条关于审核登陆状态的日志，基本上是两条日志“循环出现”的：

日志1：
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户: YuzhuWS
源工作站: YUZHU
错误代码: 0xC000006A


有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

日志2：
　登录失败:
原因: 用户名未知或密码错误
用户名: YuzhuWS
域: YUZHU
登录类型: 2
登录进程: Advapi
身份验证数据包: Negotiate
工作站名称: YUZHU
调用方用户名: YuzhuWS
调用方域: YUZHU
调用方登录 ID: (0x0,0x130BA2)
调用方进程 ID: 3452
传递服务: -
源网络地址: -
源端口: -


有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

另外还有一个规律就是凌晨3时~4时左右，是审核失败和审核成功的“转折点”...
转折点前都是“审核失败”，而再往后就基本上全都是"审核成功"，其中转折点后的前几条日志是“更改域策略”之类的，如下：

更改了域策略:锁定策略 modified
域名: YUZHU
域 ID: YUZHU\
调用方用户名: YuzhuWS
调用方所属域: YUZHU
调用方登录 ID: (0x0,0x130BA2)
特权: -
更改的属性:
最小密码存留期: -
最大密码存留期: -
强制注销: -
锁定线程: 0
锁定观察窗口: 0
锁定持续时间: 0
密码属性: -
最小密码长度: -
密码历史长度: -
计算机帐户配额 : -
混合域模式: -
域行为版本: -
OEM 信息: -


有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

然后就是把我的所有用户（包括超级用户和普通用户、IIS匿名用户、被禁用的用户等）都操作了一遍，如IUser_Server如下：
更改了用户帐户:
目标帐户名称: IUSR_SERVER
目标域: YUZHU
目标帐户 ID: YUZHU\IUSR_SERVER
调用方用户名: YuzhuWS
调用方所属域: YUZHU
调用方登录 ID: (0x0,0x130BA2)
特权: -
更改的属性:
SAM 帐户名称: IUSR_SERVER
显示名称: Internet 来宾帐户
用户主要名称: -
主目录: <未设置值>
主驱动器: <未设置值>
脚本路径: <未设置值>
配置文件路径: <未设置值>
用户工作站: <未设置值>
上一次设置的密码: 2008-6-16 9:32:22
帐户过期: <从不>
主要组 ID: 513
AllowedToDelegateTo: -
旧 UAC 值: 0xB0EF0
新 UAC 值: 0xB0EF0
用户帐户控制: -
用户参数: <值已更改，但未显示>
Sid 历史: -
登录时间(以小时计): <值已更改，但未显示>


有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

大体上发现的是这些，可能说得比较乱，希望有经验的朋友指点迷津，谢谢！感激！
最后附上“转折点”图：