服务器被攻击,求大神帮忙

周大侠588 2016-07-11 10:09:48
服务器一直有人尝试登录,通过windows防火墙禁止IP后,过了一段时间这个ip又可以访问

windows安全日志如下:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4625</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2016-07-11T13:53:21.057969900Z" />
<EventRecordID>1971082</EventRecordID>
<Correlation />
<Execution ProcessID="504" ThreadID="540" />
<Channel>Security</Channel>
<Computer>WIN-77ETT28OJ2A</Computer>
<Security />
</System>
- <EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">WIN-77ETT28OJ2A$</Data>
<Data Name="SubjectDomainName">WORKGROUP</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="TargetUserSid">S-1-0-0</Data>
<Data Name="TargetUserName">Administrator</Data>
<Data Name="TargetDomainName">WIN-77ETT28OJ2A</Data>
<Data Name="Status">0xc000006d</Data>
<Data Name="FailureReason">%%2313</Data>
<Data Name="SubStatus">0xc000006a</Data>
<Data Name="LogonType">10</Data>
<Data Name="LogonProcessName">User32</Data>
<Data Name="AuthenticationPackageName">Negotiate</Data>
<Data Name="WorkstationName">WIN-77ETT28OJ2A</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0xd34</Data>
<Data Name="ProcessName">C:\Windows\System32\winlogon.exe</Data>
<Data Name="IpAddress">119.29.199.122</Data>
<Data Name="IpPort">2285</Data>
</EventData>
</Event>
...全文
2012 3 打赏 收藏 转发到动态 举报
写回复
用AI写文章
3 条回复
切换为时间正序
请发表友善的回复…
发表回复
GarrySeven 2016-09-13
  • 打赏
  • 举报
回复
加装一个防火墙吧
smallcrocodile 2016-08-28
  • 打赏
  • 举报
回复
去拿刀砍死他
X-i-n 2016-07-14
  • 打赏
  • 举报
回复
可以参考一下我的blog,里面有一篇正好针对解决你现在的问题

9,505

社区成员

发帖
与我相关
我的任务
社区描述
Windows专区 安全技术/病毒
社区管理员
  • 安全技术/病毒社区
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧