社区
Windows Server
帖子详情
服务器有不正常登录
lookforbug
2013-05-17 08:34:32
是这样的,某台服务器经常有不正常的安全审核事件,一次ANONYMOUS LOGON
审核成功+两到三次administrator审核失败+ANONYMOUS LOGON
注销,据说ANONYMOUS LOGON
是网络共享导致的,只要别人开网上邻居就有?但还有两次administrator登录是什么情况呢?
该服务器版本2008R2,为OA软件提供支持,存放了一部分共享文件,没有装其他功能。大部分客户端都一切正常,
只有两三台客户端会引发这样的记录,查看端口发现登录动作源端口是system进程,PID4
看客户端线程也没发现什么可疑的东西,如果重装系统感觉自己输了
不知道我检查的方法有没有问题,查找源端口是用Fport工具,每10次ping写入一次进程端口对照记录,有可能得到的结果会出错
有哪位大大碰到过类似的情况,求指教啊,
...全文
498
7
打赏
收藏
服务器有不正常登录
是这样的,某台服务器经常有不正常的安全审核事件,一次ANONYMOUS LOGON 审核成功+两到三次administrator审核失败+ANONYMOUS LOGON 注销,据说ANONYMOUS LOGON 是网络共享导致的,只要别人开网上邻居就有?但还有两次administrator登录是什么情况呢? 该服务器版本2008R2,为OA软件提供支持,存放了一部分共享文件,没有装其他功能。大部分客户端都一切正常, 只有两三台客户端会引发这样的记录,查看端口发现登录动作源端口是system进程,
复制链接
扫一扫
分享
转发到动态
举报
AI
作业
写回复
配置赞助广告
用AI写文章
7 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
lookforbug
2013-06-01
打赏
举报
回复
不知道有哪位大神可以提供个思路,怎么找出引发问题的程序
qishine
版主
2013-05-30
打赏
举报
回复
估计某个程序居多
lookforbug
2013-05-30
打赏
举报
回复
引用 4 楼 qishine 的回复:
别人可以访问你吗?各种形式, 文件,RDP什么的?
有对某几台固定IP的机器开了共享权限,人员使用的是自己的账号,另外,在网上邻居里能看到服务器,没有账号密码情况下不能访问 远程桌面开放了 我有试过在网上邻居访问服务器,只有在尝试登录时,才会在服务器上产生审核失败记录,仅仅刷新网上邻居列表是不会有记录的,不过,以我对客户端使用者的了解,他们可能连网上邻居都不会打开,所以只可能是某个程序引起的,不知道是杀软查不出的木马,还是流氓软件的动作
qishine
版主
2013-05-21
打赏
举报
回复
别人可以访问你吗?各种形式, 文件,RDP什么的?
lookforbug
2013-05-20
打赏
举报
回复
引用 2 楼 gxgyj 的回复:
把超级用户名,密码改了
目前密码还没有被攻破,现在想知道的是怎么从根源处理。因为安全软件没有报木马,全盘扫描也没有找到疑点。到底是什么引发的不正常动作,如何抓出可疑程序,才是我想求教的啊
lookforbug
2013-05-17
打赏
举报
回复
具体情况像这样
匿名登录:
已成功登录帐户。
主题:
安全 ID: NULL SID
帐户名: -
帐户域: -
登录 ID: 0x0
登录类型: 3
新登录:
安全 ID: ANONYMOUS LOGON
帐户名: ANONYMOUS LOGON
帐户域: NT AUTHORITY
登录 ID: 0x1238a4e
登录 GUID: {00000000-0000-0000-0000-000000000000}
进程信息:
进程 ID: 0x0
进程名: -
网络信息:
工作站名: XP-2012
源网络地址: 192.168.0.76
源端口: 1073
详细身份验证信息:
登录进程: NtLmSsp
身份验证数据包: NTLM
传递服务: -
数据包名(仅限 NTLM): NTLM V1
密钥长度: 0
administrator登录失败:
帐户登录失败。
主题:
安全 ID: NULL SID
帐户名: -
帐户域: -
登录 ID: 0x0
登录类型: 3
登录失败的帐户:
安全 ID: NULL SID
帐户名: Administrator
帐户域: XP-2012
失败信息:
失败原因: 未知用户名或密码错误。
状态: 0xc000006d
子状态: 0xc000006a
进程信息:
调用方进程 ID: 0x0
调用方进程名: -
网络信息:
工作站名: XP-2012
源网络地址: 192.168.0.76
源端口: 1073
详细身份验证信息:
登录进程: NtLmSsp
身份验证数据包: NTLM
传递服务: -
数据包名(仅限 NTLM): -
密钥长度: 0
匿名登录注销:
已注销帐户。
主题:
安全 ID: ANONYMOUS LOGON
帐户名: ANONYMOUS LOGON
帐户域: NT AUTHORITY
登录 ID: 0x1238a4e
登录类型: 3
gxgyj
2013-05-17
打赏
举报
回复
把超级用户名,密码改了
ftp
服务器
显示不正常,查看ftp
服务器
是否正常
查看ftp
服务器
是否正常 内容精选换一换虚拟IP地址用于为网卡提供第二个IP地址,同时支持与多个弹性云
服务器
的网卡绑定,从而实现多个弹性云
服务器
之间的高可用性。
登录
管理控制台。选择“计算 > 弹性云
服务器
”。在弹性云
服务器
列表中,单击待绑定虚拟IP地址的弹性云
服务器
名称。系统跳转至该弹性云
服务器
详情页面。系统跳转至该弹性云
服务器
详情页面。选择“网卡”页签,单击“管理虚拟IP地址云
服务器
无法访...
服务器
上使用ssh登陆另一台
服务器
背景:实验室的一台
服务器
频繁被挖矿,被学校封了。。。 另一台
服务器
是正常的,可以将正常工作的
服务器
作为跳板,登陆被封的
服务器
。 由于之前这两台
服务器
我都已设置使用密钥登陆,参考:rsa登陆设置 · 语雀 (yuque.com) 所以需要先将本地电脑的私钥id_rsa文件复制到正常
服务器
的/home/*/.ssh/目录下。 然后在正常
服务器
上使用ssh命令登陆即可: ssh username@xx.xx.xx.xx (
服务器
id) ...
计算机无法登陆提示rpc
服务器
不可用,电脑提示RPC
服务器
不可用的解决方法
最近有Win7用户反映在使用打印机或使用电脑进行时间同步的时候,突然弹出“RPC
服务器
不可用”的提示,很多用户可能对于RPC并不了解,更不知道如何解决,现在小编就和大家分享Win7系统RPC
服务器
不可用的解决方法。RPC
服务器
,是指Remote Procedure Call Protocol,中文释义为(RFC-1831)远程过程调用协议:一种通过网络从远程计算机程序上请求服务,而不需要了解底层网...
远程登陆
服务器
出现黑屏怎么解决
导语:租用
服务器
的时候我们会遇到各种各样的问题,很多问题是我们没有见过或者是解决不了的。其中有一个是远程登陆黑屏的问题,遇到这种情况该怎么做呢?2.另外重新打开一个远程连接
登录
的窗口,重新
登录
可能就正常了,如果还没有恢复正常,可以尝试一下重启
服务器
。1.我们在输入密码之后,画面出现了黑屏的情况,该活动窗口不要关闭,保持打开的状态。3.
服务器
重启完成之后,重新打开远程连接
服务器
,这时候问题就能够解决了。以上是远程登陆
服务器
出现黑屏时的解决方法,希望能够帮到大家。
魔兽世界怀旧服登陆显示
服务器
不兼容,魔兽世界怀旧服
服务器
进不去怎么解决_魔兽世界怀旧服
服务器
进不去解决办法...
魔兽世界怀旧服
服务器
进不去怎么解决?可能有些玩家对魔兽世界怀旧服
服务器
进不去的解决方法不是很清楚,下面就跟着小编一起来看看吧。魔兽世界怀旧服
服务器
负载断开连接怎么办在魔兽世界怀旧服即将开启之时,在8月26日凌晨官方发布了最新PVP
服务器
负载提醒,由于在同一个
服务器
中,有过多的玩家在同一个
服务器
进行角色的创建,从而导致
服务器
出现负载的现象,若是这些玩家同时登陆游戏,则玩家进入该
服务器
进行游戏的排队时...
Windows Server
6,868
社区成员
177,996
社区内容
发帖
与我相关
我的任务
Windows Server
Windows 2016/2012/2008/2003/2000/NT
复制链接
扫一扫
分享
社区描述
Windows 2016/2012/2008/2003/2000/NT
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章