9,506
社区成员
发帖
与我相关
我的任务
分享我服务器的安全日志上这几天经常出现下面这样的事件,是不是被攻击了呢?
事件类型: 成功审核
事件来源: Security
事件种类: 帐户管理
事件 ID: 642
日期: 2004-10-31
事件: 23:42:22
用户: NT AUTHORITY\SYSTEM
计算机: BDSD-JSFD2QIIDQ
描述:
更改了用户帐户:
已锁定帐户。
目标帐户名称: Guest
目标域: BDSD-JSFD2QIIDQ
目标帐户 ID: BDSD-JSFD2QIIDQ\Guest
呼叫方用户名: BDSD-JSFD2QIIDQ$
呼叫方所属域: WORKGROUP
呼叫方登录 ID: (0x0,0x3E7)
特权: -
事件类型: 成功审核
事件来源: Security
事件种类: 帐户管理
事件 ID: 644
日期: 2004-10-31
事件: 23:42:22
用户: NT AUTHORITY\SYSTEM
计算机: BDSD-JSFD2QIIDQ
描述:
用户帐户被锁住:
目标帐户名: Guest
目标帐户 ID: BDSD-JSFD2QIIDQ\Guest
呼叫方机器名: HOME1
呼叫方用户名: BDSD-JSFD2QIIDQ$
呼叫方所属域: WORKGROUP
呼叫方登录 ID: (0x0,0x3E7)
事件来源: Security
事件种类: 帐户管理
事件 ID: 642
日期: 2004-10-31
事件: 23:42:22
用户: NT AUTHORITY\SYSTEM
计算机: BDSD-JSFD2QIIDQ
描述:
更改了用户帐户:
已锁定帐户。
目标帐户名称: Guest
目标域: BDSD-JSFD2QIIDQ
目标帐户 ID: BDSD-JSFD2QIIDQ\Guest
呼叫方用户名: BDSD-JSFD2QIIDQ$
呼叫方所属域: WORKGROUP
呼叫方登录 ID: (0x0,0x3E7)
特权: -
事件类型: 成功审核
事件来源: Security
事件种类: 帐户管理
事件 ID: 644
日期: 2004-10-31
事件: 23:42:22
用户: NT AUTHORITY\SYSTEM
计算机: BDSD-JSFD2QIIDQ
描述:
用户帐户被锁住:
目标帐户名: Guest
目标帐户 ID: BDSD-JSFD2QIIDQ\Guest
呼叫方机器名: HOME1
呼叫方用户名: BDSD-JSFD2QIIDQ$
呼叫方所属域: WORKGROUP
呼叫方登录 ID: (0x0,0x3E7)
...全文
请发表友善的回复…
发表回复
hediant 2004-11-02
- 打赏
- 举报
IUSR_JSFD2QIIDQ
IWAM_JSFD2QIIDQ
都是正常用户。
也许你自己锁定了GUEST用户,结果忘记了。因为执行操作的是你的本机,而且试图登陆的是被锁定的GUEST帐户。
从你给的信息看,无法判断是否受到攻击。
你应该查看你的机器的登陆信息(10月31日这段时间的),是否有特权用户在此段时间内登陆,或有新的用户被注册成系统用户。
应该说,你的系统并未受到破坏。
IWAM_JSFD2QIIDQ
都是正常用户。
也许你自己锁定了GUEST用户,结果忘记了。因为执行操作的是你的本机,而且试图登陆的是被锁定的GUEST帐户。
从你给的信息看,无法判断是否受到攻击。
你应该查看你的机器的登陆信息(10月31日这段时间的),是否有特权用户在此段时间内登陆,或有新的用户被注册成系统用户。
应该说,你的系统并未受到破坏。
dendoll 2004-11-02
- 打赏
- 举报
IUSR_JSFD2QIIDQ
IWAM_JSFD2QIIDQ
也有用像用上面两个账号进行登录的呢?有什么好办法吗?
IWAM_JSFD2QIIDQ
也有用像用上面两个账号进行登录的呢?有什么好办法吗?
lw6983 2004-11-02
- 打赏
- 举报
远程共享禁用也可以吧
dendoll 2004-11-02
- 打赏
- 举报
hediant(何) 说的非常好,第一个事件是我自已停止guest时的事件,就是说是我自已操作的结果。
那
2、在"本地用户和组-->用户"里经常能看到一些莫明其妙的用户,又应如何防范呢?
这条可就不明白了?
那
2、在"本地用户和组-->用户"里经常能看到一些莫明其妙的用户,又应如何防范呢?
这条可就不明白了?
dendoll 2004-11-02
- 打赏
- 举报
hediant(何) ,可能是吧,因为我把guest进行了加密后停止的该用户。
1、你说执行操作的是本机,可是我没有对它操作,那样的话会有什么可能呢?
2、在"本地用户和组-->用户"里经常能看到一些莫明其妙的用户,又应如何防范呢?
1、你说执行操作的是本机,可是我没有对它操作,那样的话会有什么可能呢?
2、在"本地用户和组-->用户"里经常能看到一些莫明其妙的用户,又应如何防范呢?
dendoll 2004-11-01
- 打赏
- 举报
BDSD-JSFD2QIIDQ这个是我的机器名啊,像上面的情况不知道它是否会已经可以控制我的机器了呢?以后又应该如何防范呢?
jerryfly 2004-11-01
- 打赏
- 举报
可能,那你看看你的网里有没有一个BDSD-JSFD2QIIDQ 这个用户呀,
huawei8 2004-11-01
- 打赏
- 举报
将Guest用户停用或删除。
lslmj 2004-11-01
- 打赏
- 举报
对呀..我的机器也出现过这种情况..真是可怕
