服务器被人攻破,请高手帮忙看下日志检查下漏洞
这是给非法登入过程的日志,ver用户就是非法登入的用户
在我机上装了一个爱数加密软件,将所有目录加密
请教高手帮忙查看一下是否可以查出漏洞??
还有,有人知否如何解爱数加密后的目录?有偿!!
事件类型:审核成功
事件来源:Security
事件种类:登录/注销
事件 ID:538
日期:2008-2-23
事件:7:42:18
用户:S-1-5-21-1789883194-3000051145-1798327075-1010
计算机:XXXYSERVER
描述:
用户注销:
用户名:ver
域:XXXYSERVER
登录 ID:(0x0,0x2DBAD0F)
登录类型:10
事件类型:审核成功
事件来源:Security
事件种类:登录/注销
事件 ID:551
日期:2008-2-23
事件:7:41:40
用户:S-1-5-21-1789883194-3000051145-1798327075-1010
计算机:XXXYSERVER
描述:
用户要求的注销:
用户名:ver
域:XXXYSERVER
登录 ID:(0x0,0x2dbad0f)
事件类型:审核成功
事件来源:Security
事件种类:登录/注销
事件 ID:540
日期:2008-2-23
事件:6:29:51
用户:XXXYSERVER\IUSR_XXXYSERVER
计算机:XXXYSERVER
描述:
成功的网络登录:
用户名:IUSR_XXXYSERVER
域:XXXYSERVER
登录 ID:(0x0,0x2DFEB15)
登录类型:8
登录过程:Advapi
身份验证数据包:Negotiate
工作站名:XXXYSERVER
登录 GUID:-
调用方用户名:NETWORK SERVICE
调用方域:NT AUTHORITY
调用方登录 ID:(0x0,0x3E4)
调用方进程 ID: 2164
传递服务: -
源网络地址:-
源端口:-
事件类型:审核成功
事件来源:Security
事件种类:登录/注销
事件 ID:552
日期:2008-2-23
事件:6:29:51
用户:NT AUTHORITY\NETWORK SERVICE
计算机:XXXYSERVER
描述:
使用明确凭据的登录尝试:
登录的用户:
用户名:NETWORK SERVICE
域:NT AUTHORITY
登录 ID:(0x0,0x3E4)
登录 GUID:-
凭据被使用的用户:
目标用户名:IUSR_XXXYSERVER
目标域:XXXYSERVER
目标登录 GUID: -
目标服务器名称:localhost
目标服务器信息:localhost
调用方进程 ID:2164
源网络地址:-
源端口:-
事件类型:审核成功
事件来源:Security
事件种类:帐户登录
事件 ID:680
日期:2008-2-23
事件:6:29:51
用户:XXXYSERVER\IUSR_XXXYSERVER
计算机:XXXYSERVER
描述:
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户: IUSR_XXXYSERVER
源工作站: XXXYSERVER
错误代码: 0x0
事件类型:审核成功
事件来源:Security
事件种类:登录/注销
事件 ID:538
日期:2008-2-23
事件:6:27:59
用户:XXXYSERVER\IUSR_XXXYSERVER
计算机:XXXYSERVER
描述:
用户注销:
用户名:IUSR_XXXYSERVER
域:XXXYSERVER
登录 ID:(0x0,0x2DB1145)
登录类型:8
事件类型:审核成功
事件来源:Security
事件种类:登录/注销
事件 ID:576
日期:2008-2-23
事件:6:16:00
用户:S-1-5-21-1789883194-3000051145-1798327075-1010
计算机:XXXYSERVER
描述:
指派给新登录的特殊权限:
用户名:
域:
登录 ID:(0x0,0x2DBAD0F)
特权:SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
事件类型:审核成功
事件来源:Security
事件种类:登录/注销
事件 ID:528
日期:2008-2-23
事件:6:16:00
用户:S-1-5-21-1789883194-3000051145-1798327075-1010
计算机:XXXYSERVER
描述:
登录成功:
用户名: ver
域: XXXYSERVER
登录 ID: (0x0,0x2DBAD0F)
登录类型: 10
登录进程: User32
身份验证数据包: Negotiate
工作站名:XXXYSERVER
登录 GUID:-
调用方用户名:XXXYSERVER$
调用方域:WORKGROUP
调用方登录 ID:(0x0,0x3E7)
调用方进程 ID: 3452
传递服务: -
源网络地址:222.181.24.3
源端口:52460
事件类型:审核成功
事件来源:Security
事件种类:登录/注销
事件 ID:552
日期:2008-2-23
事件:6:16:00
用户:NT AUTHORITY\SYSTEM
计算机:XXXYSERVER
描述:
使用明确凭据的登录尝试:
登录的用户:
用户名:XXXYSERVER$
域:WORKGROUP
登录 ID:(0x0,0x3E7)
登录 GUID:-
凭据被使用的用户:
目标用户名:ver
目标域:XXXYSERVER
目标登录 GUID: -
目标服务器名称:localhost
目标服务器信息:localhost
调用方进程 ID:3452
源网络地址:222.181.24.3
源端口:52460
事件类型:审核成功
事件来源:Security
事件种类:帐户登录
事件 ID:680
日期:2008-2-23
事件:6:16:00
用户:S-1-5-21-1789883194-3000051145-1798327075-1010
计算机:XXXYSERVER
描述:
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户: ver
源工作站: XXXYSERVER
错误代码: 0x0
事件类型:审核成功
事件来源:Security
事件种类:登录/注销
事件 ID:540
日期:2008-2-23
事件:5:48:56
用户:XXXYSERVER\IUSR_XXXYSERVER
计算机:XXXYSERVER
描述:
成功的网络登录:
用户名:IUSR_XXXYSERVER
域:XXXYSERVER
登录 ID:(0x0,0x2DB1145)
登录类型:8
登录过程:Advapi
身份验证数据包:Negotiate
工作站名:XXXYSERVER
登录 GUID:-
调用方用户名:NETWORK SERVICE
调用方域:NT AUTHORITY
调用方登录 ID:(0x0,0x3E4)
调用方进程 ID: 3668
传递服务: -
源网络地址:-
源端口:-
事件类型:审核成功
事件来源:Security
事件种类:登录/注销
事件 ID:552
日期:2008-2-23
事件:5:48:56
用户:NT AUTHORITY\NETWORK SERVICE
计算机:XXXYSERVER
描述:
使用明确凭据的登录尝试:
登录的用户:
用户名:NETWORK SERVICE
域:NT AUTHORITY
登录 ID:(0x0,0x3E4)
登录 GUID:-
凭据被使用的用户:
目标用户名:IUSR_XXXYSERVER
目标域:XXXYSERVER
目标登录 GUID: -
目标服务器名称:localhost
目标服务器信息:localhost
调用方进程 ID:3668
源网络地址:-
源端口:-
事件类型:审核成功
事件来源:Security
事件种类:帐户登录
事件 ID:680
日期:2008-2-23
事件:5:48:56
用户:XXXYSERVER\IUSR_XXXYSERVER
计算机:XXXYSERVER
描述:
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户: IUSR_XXXYSERVER
源工作站: XXXYSERVER
错误代码: 0x0
事件类型:审核成功
事件来源:Security
事件种类:登录/注销
事件 ID:538
日期:2008-2-23
事件:5:29:39
用户:XXXYSERVER\IUSR_XXXYSERVER
计算机:XXXYSERVER
描述:
用户注销:
用户名:IUSR_XXXYSERVER
域:XXXYSERVER
登录 ID:(0x0,0x2DA0768)
登录类型:8
[解决办法]
你能不能进入到系统目录下面去嘛,查看一下它的动作就知道了还有你是不是装了iis的啊?
[解决办法]
你的系统都开放了什么应用呢?
[解决办法]
使用明确凭据的登录尝试:
登录的用户:
用户名: XXXYSERVER$
域: WORKGROUP
你应该没有创建 用户名: XXXYSERVER$ 这个账号吧
分拿来哦
[解决办法]
我也遇到这种问题,我怀疑是这个软件商在为他软件销售做工作,这种行为太卑鄙了
[解决办法]
建议关闭不用的所有端口.
应该是被执行了ShellCode. 利用某漏洞执行了远程代码,以创建这个用户.
[解决办法]
装了SQL Server嘛?。。。只给出安全性日志。。。也很难判断出什么。。况且。。。也不知道关键的日志是否已经被清掉了。。。目前能知道的是有可能通过WebShell上传文件做本地溢出后新建了用户。。。如果有SqlServer则有可能是用了XP_cmdshell
