首页 诗词 字典 板报 句子 名言 友答 励志 学校 网站地图
当前位置: 首页 > 教程频道 > 操作系统 > windows >

服务器被入侵了,老是有人猜解服务器密码,该怎么处理

2013-01-26 
服务器被入侵了,老是有人猜解服务器密码号长时间没有管理服务器,昨天看了一下日志,吓了一跳,有好多登陆失

服务器被入侵了,老是有人猜解服务器密码
号长时间没有管理服务器,昨天看了一下日志,吓了一跳,有好多登陆失败的记录,用各种可能的用户名登陆。最后登陆成功了。我把账号、密码修改了,并且设置了密码输入错误3次后锁定账户。但是 今天早上看日志又有了猜解登陆记录,

由于错误 登录失败: 未知的用户名或错误密码。 ,服务器无法登录 Windows NT 帐户 'anyone'。返回数据是错误代码。

由于错误 登录失败: 未知的用户名或错误密码。 ,服务器无法登录 Windows NT 帐户 'administrator'。返回数据是错误代码。

由于错误 登录失败: 未知的用户名或错误密码。 ,服务器无法登录 Windows NT 帐户 'administrator'。返回数据是错误代码。

由于错误 登录失败: 未知的用户名或错误密码。 ,服务器无法登录 Windows NT 帐户 'administrator'。返回数据是错误代码。

由于错误 引用的帐户当前已锁定,且可能无法登录。 ,服务器无法登录 Windows NT 帐户 'administrator'。返回数据是错误代码。(后面的记录全都是这样的)

主机 XX.XX.XX.XX 上的用户  在 120 秒内不活动而超时。

在安全性里面的 审核失败记录里面的 信息是

尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 登录帐户:  anyone
 源工作站: Z45X-12345
 错误代码: 0xC0000064

登录失败:
 原因:用户名未知或密码错误
 用户名:anyone
 域:Z45X-12345
 登录类型:8
 登录进程:IIS     
 身份验证数据包:MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 工作站名称:Z45X-12345
 调用方用户名:Z45X-12345$
 调用方域:WORKGROUP
 调用方登录 ID:(0x0,0x3E7)
 调用方进程 ID: 1208
 传递服务: -
 源网络地址:-
 源端口:-

尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 登录帐户:  administrator
 源工作站: Z45X-12345
 错误代码: 0xC000006A

登录失败:
 原因:用户名未知或密码错误
 用户名:administrator
 域:Z45X-12345
 登录类型:8
 登录进程:IIS     
 身份验证数据包:MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 工作站名称:Z45X-12345
 调用方用户名:Z45X-12345$
 调用方域:WORKGROUP
 调用方登录 ID:(0x0,0x3E7)
 调用方进程 ID: 1208
 传递服务: -
 源网络地址:-
 源端口:-

尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 登录帐户:  administrator
 源工作站: Z45X-12345
 错误代码: 0xC000006A

登录失败:
 原因:用户名未知或密码错误
 用户名:administrator
 域:Z45X-12345
 登录类型:8
 登录进程:IIS     
 身份验证数据包:MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
 工作站名称:Z45X-12345
 调用方用户名:Z45X-12345$
 调用方域:WORKGROUP
 调用方登录 ID:(0x0,0x3E7)
 调用方进程 ID: 1208
 传递服务: -
 源网络地址:-
 源端口:-

用户帐户被锁住:
 目标帐户名:administrator
 目标帐户 ID:Z45X-12345\administrator
 调用方机器名:Z45X-12345
 调用方用户名:Z45X-12345$
 调用方所属域:WORKGROUP
 调用方登录 ID:(0x0,0x3E7)


 (面的日志都是这样了,登陆、然后提示账号被锁定)

上面的日志 我不是很明白,调用方用户名:Z45X-12345$ 这里为什么有个$呢?
登录进程:IIS     是不是他通过web页面登陆的呢?


[解决办法]
是不是网站服务器啊?

不要管这个 先找服务器的漏洞所在 

如果是网站服务器的话先找网站的漏洞 修补之 然后把服务器的漏洞修补后

然后找网站和服务器中存在的后门!
[解决办法]
Z45X-12345$  通过注册表看一下有没有这个账户

隐藏的 net user 是查不到的 只能通过注册表查到!
[解决办法]
也有可能是中毒了,我公司去年就有过,每天一上班就发现公司域中的所有用户全部被锁定了
日志中看到每个用户都被猜密码5次,然后就被锁定,后来杀毒就好了
------解决方案--------------------


这里有个$结尾表示计算机名是正常的
[解决办法]
 在网络里找到Z45X-12345这台机器。然后打补丁,杀毒。

读书人精选
热点排行