服务器有不正常登录

lookforbug 2013-05-17 08:34:32

是这样的,某台服务器经常有不正常的安全审核事件,一次ANONYMOUS LOGON
审核成功+两到三次administrator审核失败+ANONYMOUS LOGON
注销,据说ANONYMOUS LOGON
是网络共享导致的,只要别人开网上邻居就有?但还有两次administrator登录是什么情况呢?

该服务器版本2008R2,为OA软件提供支持,存放了一部分共享文件,没有装其他功能。大部分客户端都一切正常,
只有两三台客户端会引发这样的记录,查看端口发现登录动作源端口是system进程,PID4

看客户端线程也没发现什么可疑的东西,如果重装系统感觉自己输了

不知道我检查的方法有没有问题，查找源端口是用Fport工具，每10次ping写入一次进程端口对照记录，有可能得到的结果会出错

有哪位大大碰到过类似的情况,求指教啊，

...全文

498 7 打赏收藏转发到动态举报

写回复

用AI写文章

7 条回复

切换为时间正序

请发表友善的回复…

发表回复

lookforbug 2013-06-01

打赏
举报

不知道有哪位大神可以提供个思路，怎么找出引发问题的程序

qishine 版主 2013-05-30

打赏
举报

估计某个程序居多

lookforbug 2013-05-30

打赏
举报

引用 4 楼 qishine 的回复:

别人可以访问你吗?各种形式, 文件,RDP什么的?

有对某几台固定IP的机器开了共享权限，人员使用的是自己的账号，另外，在网上邻居里能看到服务器，没有账号密码情况下不能访问远程桌面开放了我有试过在网上邻居访问服务器，只有在尝试登录时，才会在服务器上产生审核失败记录，仅仅刷新网上邻居列表是不会有记录的，不过，以我对客户端使用者的了解，他们可能连网上邻居都不会打开，所以只可能是某个程序引起的，不知道是杀软查不出的木马，还是流氓软件的动作

qishine 版主 2013-05-21

打赏
举报

别人可以访问你吗?各种形式, 文件,RDP什么的?

lookforbug 2013-05-20

打赏
举报

引用 2 楼 gxgyj 的回复:

把超级用户名，密码改了

目前密码还没有被攻破，现在想知道的是怎么从根源处理。因为安全软件没有报木马，全盘扫描也没有找到疑点。到底是什么引发的不正常动作，如何抓出可疑程序，才是我想求教的啊

lookforbug 2013-05-17

打赏
举报

具体情况像这样
匿名登录:
已成功登录帐户。

主题:
安全 ID: NULL SID
帐户名: -
帐户域: -
登录 ID: 0x0

登录类型: 3

新登录:
安全 ID: ANONYMOUS LOGON
帐户名: ANONYMOUS LOGON
帐户域: NT AUTHORITY
登录 ID: 0x1238a4e
登录 GUID: {00000000-0000-0000-0000-000000000000}

进程信息:
进程 ID: 0x0
进程名: -

网络信息:
工作站名: XP-2012
源网络地址: 192.168.0.76
源端口: 1073

详细身份验证信息:
登录进程: NtLmSsp
身份验证数据包: NTLM
传递服务: -
数据包名(仅限 NTLM): NTLM V1
密钥长度: 0
administrator登录失败：
帐户登录失败。

主题:
安全 ID: NULL SID
帐户名: -
帐户域: -
登录 ID: 0x0

登录类型: 3

登录失败的帐户:
安全 ID: NULL SID
帐户名: Administrator
帐户域: XP-2012

失败信息:
失败原因: 未知用户名或密码错误。
状态: 0xc000006d
子状态: 0xc000006a

进程信息:
调用方进程 ID: 0x0
调用方进程名: -

网络信息:
工作站名: XP-2012
源网络地址: 192.168.0.76
源端口: 1073

详细身份验证信息:
登录进程: NtLmSsp
身份验证数据包: NTLM
传递服务: -
数据包名(仅限 NTLM): -
密钥长度: 0
匿名登录注销：
已注销帐户。

主题:
安全 ID: ANONYMOUS LOGON
帐户名: ANONYMOUS LOGON
帐户域: NT AUTHORITY
登录 ID: 0x1238a4e

登录类型: 3