6,850
社区成员
发帖
与我相关
我的任务
分享登录过程:advapi ,我是不是被入侵了?
事件类型: 审核成功
事件来源: Security
事件种类: 帐户登录
事件 ID: 680
日期: 2011-1-7
事件: 11:30:27
用户: IDC-366\IUSR_IDC_687
计算机: IDC-366
描述:
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户: IUSR_IDC_687
源工作站: IDC-366
错误代码: 0x0
有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
=======
事件类型: 审核成功
事件来源: Security
事件种类: 登录/注销
事件 ID: 540
日期: 2011-1-7
事件: 11:30:27
用户: IDC-366\IUSR_IDC_687
计算机: IDC-366
描述:
成功的网络登录:
用户名: IUSR_IDC_687
域: IDC-366
登录 ID: (0x0,0x57CBDF)
登录类型: 8
登录过程: Advapi
身份验证数据包: Negotiate
工作站名: IDC-366
登录 GUID: -
调用方用户名: NETWORK SERVICE
调用方域: NT AUTHORITY
调用方登录 ID: (0x0,0x3E4)
调用方进程 ID: 3096
传递服务: -
源网络地址: -
源端口: -
有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
======
事件类型: 审核成功
事件来源: Security
事件种类: 登录/注销
事件 ID: 538
日期: 2011-1-7
事件: 11:55:29
用户: IDC-366\IUSR_IDC_687
计算机: IDC-366
描述:
用户注销:
用户名: IUSR_IDC_687
域: IDC-366
登录 ID: (0x0,0x57CBDF)
登录类型: 8
有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
我查了下网上应该是被入侵了,但是我不知道该如何检测,如果删除
...全文
请发表友善的回复…
发表回复
为我所为 2011-12-26
- 打赏
- 举报
很明显是被黑了,你看看他的登录记录里面是不是还有一个记录有特别权限的?如果有那就是他不光能登录你的服务器/PC而且可以做和你同样的操作!
deyen 2011-12-13
- 打赏
- 举报
晚上正是黑客活动频繁的时段。
idaydayup 2011-01-24
- 打赏
- 举报
[Quote=引用 5 楼 shineofgod 的回复:]
可能是有人正在试图黑你的电脑。。。推荐关闭guest账户,然后用户密码设置好点。
[/Quote] 要命的是显示登陆成功,而且每天都有登录成功的记录
可能是有人正在试图黑你的电脑。。。推荐关闭guest账户,然后用户密码设置好点。
[/Quote] 要命的是显示登陆成功,而且每天都有登录成功的记录
hackkimo 2011-01-23
- 打赏
- 举报
运行什么服务了吧?
拓跋野 2011-01-23
- 打赏
- 举报
可能是有人正在试图黑你的电脑。。。推荐关闭guest账户,然后用户密码设置好点。
idaydayup 2011-01-20
- 打赏
- 举报
我用 spyware doctor 检测不出来,用mcafee也检测不出 ,但是还是会显示有advapi登录成功
idaydayup 2011-01-19
- 打赏
- 举报
[Quote=引用 1 楼 keeley20 的回复:]
检查下用户IUSR_IDC_687的权限,如果有administrators 权限,基本确定被黑了。
[/Quote]没有,还是在guest组里边..
不过这个账号每天都有登录记录,但是服务器并没有什么异常情况,是不是代表他虽然能登录了,但是并没有权限执行任何操作呢?
检查下用户IUSR_IDC_687的权限,如果有administrators 权限,基本确定被黑了。
[/Quote]没有,还是在guest组里边..
不过这个账号每天都有登录记录,但是服务器并没有什么异常情况,是不是代表他虽然能登录了,但是并没有权限执行任何操作呢?
keeley20 2011-01-19
- 打赏
- 举报
检查下用户IUSR_IDC_687的权限,如果有administrators 权限,基本确定被黑了。
