6,868
社区成员
发帖
与我相关
我的任务
分享服务器被入侵了,老是有人猜解服务器密码
号长时间没有管理服务器,昨天看了一下日志,吓了一跳,有好多登陆失败的记录,用各种可能的用户名登陆。最后登陆成功了。我把账号、密码修改了,并且设置了密码输入错误3次后锁定账户。但是 今天早上看日志又有了猜解登陆记录,
由于错误 登录失败: 未知的用户名或错误密码。 ,服务器无法登录 Windows NT 帐户 'anyone'。返回数据是错误代码。
由于错误 登录失败: 未知的用户名或错误密码。 ,服务器无法登录 Windows NT 帐户 'administrator'。返回数据是错误代码。
由于错误 登录失败: 未知的用户名或错误密码。 ,服务器无法登录 Windows NT 帐户 'administrator'。返回数据是错误代码。
由于错误 登录失败: 未知的用户名或错误密码。 ,服务器无法登录 Windows NT 帐户 'administrator'。返回数据是错误代码。
由于错误 引用的帐户当前已锁定,且可能无法登录。 ,服务器无法登录 Windows NT 帐户 'administrator'。返回数据是错误代码。(后面的记录全都是这样的)
主机 XX.XX.XX.XX 上的用户 在 120 秒内不活动而超时。
在安全性里面的 审核失败记录里面的 信息是
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户: anyone
源工作站: Z45X-12345
错误代码: 0xC0000064
登录失败:
原因: 用户名未知或密码错误
用户名: anyone
域: Z45X-12345
登录类型: 8
登录进程: IIS
身份验证数据包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
工作站名称: Z45X-12345
调用方用户名: Z45X-12345$
调用方域: WORKGROUP
调用方登录 ID: (0x0,0x3E7)
调用方进程 ID: 1208
传递服务: -
源网络地址: -
源端口: -
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户: administrator
源工作站: Z45X-12345
错误代码: 0xC000006A
登录失败:
原因: 用户名未知或密码错误
用户名: administrator
域: Z45X-12345
登录类型: 8
登录进程: IIS
身份验证数据包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
工作站名称: Z45X-12345
调用方用户名: Z45X-12345$
调用方域: WORKGROUP
调用方登录 ID: (0x0,0x3E7)
调用方进程 ID: 1208
传递服务: -
源网络地址: -
源端口: -
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户: administrator
源工作站: Z45X-12345
错误代码: 0xC000006A
登录失败:
原因: 用户名未知或密码错误
用户名: administrator
域: Z45X-12345
登录类型: 8
登录进程: IIS
身份验证数据包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
工作站名称: Z45X-12345
调用方用户名: Z45X-12345$
调用方域: WORKGROUP
调用方登录 ID: (0x0,0x3E7)
调用方进程 ID: 1208
传递服务: -
源网络地址: -
源端口: -
用户帐户被锁住:
目标帐户名: administrator
目标帐户 ID: Z45X-12345\administrator
调用方机器名: Z45X-12345
调用方用户名: Z45X-12345$
调用方所属域: WORKGROUP
调用方登录 ID: (0x0,0x3E7)
(面的日志都是这样了,登陆、然后提示账号被锁定)
上面的日志 我不是很明白,调用方用户名: Z45X-12345$ 这里为什么有个$呢?
登录进程: IIS 是不是他通过web页面登陆的呢?
由于错误 登录失败: 未知的用户名或错误密码。 ,服务器无法登录 Windows NT 帐户 'anyone'。返回数据是错误代码。
由于错误 登录失败: 未知的用户名或错误密码。 ,服务器无法登录 Windows NT 帐户 'administrator'。返回数据是错误代码。
由于错误 登录失败: 未知的用户名或错误密码。 ,服务器无法登录 Windows NT 帐户 'administrator'。返回数据是错误代码。
由于错误 登录失败: 未知的用户名或错误密码。 ,服务器无法登录 Windows NT 帐户 'administrator'。返回数据是错误代码。
由于错误 引用的帐户当前已锁定,且可能无法登录。 ,服务器无法登录 Windows NT 帐户 'administrator'。返回数据是错误代码。(后面的记录全都是这样的)
主机 XX.XX.XX.XX 上的用户 在 120 秒内不活动而超时。
在安全性里面的 审核失败记录里面的 信息是
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户: anyone
源工作站: Z45X-12345
错误代码: 0xC0000064
登录失败:
原因: 用户名未知或密码错误
用户名: anyone
域: Z45X-12345
登录类型: 8
登录进程: IIS
身份验证数据包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
工作站名称: Z45X-12345
调用方用户名: Z45X-12345$
调用方域: WORKGROUP
调用方登录 ID: (0x0,0x3E7)
调用方进程 ID: 1208
传递服务: -
源网络地址: -
源端口: -
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户: administrator
源工作站: Z45X-12345
错误代码: 0xC000006A
登录失败:
原因: 用户名未知或密码错误
用户名: administrator
域: Z45X-12345
登录类型: 8
登录进程: IIS
身份验证数据包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
工作站名称: Z45X-12345
调用方用户名: Z45X-12345$
调用方域: WORKGROUP
调用方登录 ID: (0x0,0x3E7)
调用方进程 ID: 1208
传递服务: -
源网络地址: -
源端口: -
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户: administrator
源工作站: Z45X-12345
错误代码: 0xC000006A
登录失败:
原因: 用户名未知或密码错误
用户名: administrator
域: Z45X-12345
登录类型: 8
登录进程: IIS
身份验证数据包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
工作站名称: Z45X-12345
调用方用户名: Z45X-12345$
调用方域: WORKGROUP
调用方登录 ID: (0x0,0x3E7)
调用方进程 ID: 1208
传递服务: -
源网络地址: -
源端口: -
用户帐户被锁住:
目标帐户名: administrator
目标帐户 ID: Z45X-12345\administrator
调用方机器名: Z45X-12345
调用方用户名: Z45X-12345$
调用方所属域: WORKGROUP
调用方登录 ID: (0x0,0x3E7)
(面的日志都是这样了,登陆、然后提示账号被锁定)
上面的日志 我不是很明白,调用方用户名: Z45X-12345$ 这里为什么有个$呢?
登录进程: IIS 是不是他通过web页面登陆的呢?
...全文
请发表友善的回复…
发表回复
SaintLance 2012-09-20
- 打赏
- 举报
这种情况我遇到过,应该是有人在暴力破解你的IIS上的服务,比较有可能的是FTP和EMail,你可以在日志查看器查看对应的服务是不是有登录失败警告SMTP或者MSFTPSVC,如果你的服务器不提供SMTP或FTP服务,可以吧端口关掉防止类似的攻击,否则,在IIS下面开启FTP和SMTP的日志,封锁攻击者的IP。
dayadream 2010-03-25
- 打赏
- 举报
[Quote=引用 4 楼 vbker 的回复:]
是网站服务器,他猜解的是系统账号 和 网站程序应该没有关系吧。
[/Quote]
根据个人了解 一般网站服务器都是因为网站程序有漏洞 才会引来别人对服务器的攻击。
Z45X-12345$ 用dos命令 在你自己的电脑上建立一个aa$的用户看看 你会发现这个用户是隐藏的。之所以能隐藏就是因为$ 这个符号。至于什么原理 百度。
猜测:大致情况可能是 黑客发现了你的网站程序漏洞 比如上传什么的 往你的服务器上传了一个网马,也就是一个网页文件。这个网页文件有很多功能 比如修改你的网站代码,查看你的服务器硬盘,执行dos命令,等等。
有可能他通过dos命令建立了一个隐藏的系统用户,而且你的电脑开了3389口 然后他就远程连接。之所以日志中出现几次错误的登陆 可能是他在通过不同的方法尝试拿服务器的权限。其它几次都失败了 结果最后一个却成功了。
是网站服务器,他猜解的是系统账号 和 网站程序应该没有关系吧。
[/Quote]
根据个人了解 一般网站服务器都是因为网站程序有漏洞 才会引来别人对服务器的攻击。
Z45X-12345$ 用dos命令 在你自己的电脑上建立一个aa$的用户看看 你会发现这个用户是隐藏的。之所以能隐藏就是因为$ 这个符号。至于什么原理 百度。
猜测:大致情况可能是 黑客发现了你的网站程序漏洞 比如上传什么的 往你的服务器上传了一个网马,也就是一个网页文件。这个网页文件有很多功能 比如修改你的网站代码,查看你的服务器硬盘,执行dos命令,等等。
有可能他通过dos命令建立了一个隐藏的系统用户,而且你的电脑开了3389口 然后他就远程连接。之所以日志中出现几次错误的登陆 可能是他在通过不同的方法尝试拿服务器的权限。其它几次都失败了 结果最后一个却成功了。
missing77 2010-03-02
- 打赏
- 举报
在网络里找到Z45X-12345这台机器。然后打补丁,杀毒。
zhangjint5 2010-03-02
- 打赏
- 举报
这里有个$结尾表示计算机名是正常的
szyjp 2010-03-01
- 打赏
- 举报
也有可能是中毒了,我公司去年就有过,每天一上班就发现公司域中的所有用户全部被锁定了
日志中看到每个用户都被猜密码5次,然后就被锁定,后来杀毒就好了
日志中看到每个用户都被猜密码5次,然后就被锁定,后来杀毒就好了
vbker 2010-03-01
- 打赏
- 举报
orum.csdn.net/PointForum/ui/scripts/csdn/Plugin/001/face/50.gif][/img]vbker 2010-02-23
- 打赏
- 举报
vbker 2010-02-23
- 打赏
- 举报
是网站服务器,他猜解的是系统账号 和 网站程序应该没有关系吧。
dayadream 2010-02-23
- 打赏
- 举报
Z45X-12345$ 通过注册表看一下有没有这个账户
隐藏的 net user 是查不到的 只能通过注册表查到!
隐藏的 net user 是查不到的 只能通过注册表查到!
dayadream 2010-02-23
- 打赏
- 举报
是不是网站服务器啊?
不要管这个 先找服务器的漏洞所在
如果是网站服务器的话先找网站的漏洞 修补之 然后把服务器的漏洞修补后
然后找网站和服务器中存在的后门!
不要管这个 先找服务器的漏洞所在
如果是网站服务器的话先找网站的漏洞 修补之 然后把服务器的漏洞修补后
然后找网站和服务器中存在的后门!
