9,506
社区成员
发帖
与我相关
我的任务
分享服务器被人进来的了,不晓得哪里有问题...
早上打开服务器,发现有些不对,被人添加了一个用户“msxtest” 名下的左面上放了很多木马文件和一些端口扫描程序。
不晓得是咋个进来的,不知道从何下手堵住他,服务器是2003的用来放置网站.
查看了一下服务器日志 :(其中一条)
+++++++++++++++++++++++++++++++++ start +++++++++++++++++++++++++++++++++++++++++++++
事件类型: 审核成功
事件来源: Security
事件种类: 登录/注销
事件 ID: 552
日期: 2014-7-28
事件: 5:44:52
用户: S-1-5-21-2945976707-3045921905-2245817522-1010
计算机: BBS
描述:
使用明确凭据的登录尝试:
登录的用户:
用户名: msxtest
域: BBS
登录 ID: (0x1,0x640B781A)
登录 GUID: -
凭据被使用的用户:
目标用户名: user
目标域: BBS
目标登录 GUID: -
目标服务器名称: wlb-110
目标服务器信息: wlb-110
调用方进程 ID: 4
源网络地址: -
源端口: -
有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
++++++++++++++++++++++++++++++++++++++++++end+++++++++++++++++++++++++++++++++++++++++++++
日志中
“目标服务器名称” 一直在换,我们网络中大概有20多台服务器。
不晓得是咋个进来的,不知道从何下手堵住他,服务器是2003的用来放置网站.
查看了一下服务器日志 :(其中一条)
+++++++++++++++++++++++++++++++++ start +++++++++++++++++++++++++++++++++++++++++++++
事件类型: 审核成功
事件来源: Security
事件种类: 登录/注销
事件 ID: 552
日期: 2014-7-28
事件: 5:44:52
用户: S-1-5-21-2945976707-3045921905-2245817522-1010
计算机: BBS
描述:
使用明确凭据的登录尝试:
登录的用户:
用户名: msxtest
域: BBS
登录 ID: (0x1,0x640B781A)
登录 GUID: -
凭据被使用的用户:
目标用户名: user
目标域: BBS
目标登录 GUID: -
目标服务器名称: wlb-110
目标服务器信息: wlb-110
调用方进程 ID: 4
源网络地址: -
源端口: -
有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
++++++++++++++++++++++++++++++++++++++++++end+++++++++++++++++++++++++++++++++++++++++++++
日志中
“目标服务器名称” 一直在换,我们网络中大概有20多台服务器。
...全文
请发表友善的回复…
发表回复
j318 2014-09-12
- 打赏
- 举报
估计是tomcat的漏洞,最简单的是,你的tomcat的manager没处理过,直接就可以登录,建立一个用户后再远程
helloyhb 2014-08-08
- 打赏
- 举报
估计是别人用了嗅探器,把你远程登录密码嗅探出来了。
baijian_8d 2014-08-04
- 打赏
- 举报
windows 漏洞补全 (IIS、RPC)等等
数据库漏洞补丁、sqlserver数据库sa 不能有简单密码
apache、tomcat 漏洞
web应用程序的漏洞(sql 注入)
服务器是否有必要暴露在公网
