登录过程:advapi ,我是不是被入侵了?
事件类型:审核成功
事件来源:Security
事件种类:帐户登录
事件 ID:680
日期:2011-1-7
事件:11:30:27
用户:IDC-366\IUSR_IDC_687
计算机:IDC-366
描述:
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户: IUSR_IDC_687
源工作站: IDC-366
错误代码: 0x0
有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
=======
事件类型:审核成功
事件来源:Security
事件种类:登录/注销
事件 ID:540
日期:2011-1-7
事件:11:30:27
用户:IDC-366\IUSR_IDC_687
计算机:IDC-366
描述:
成功的网络登录:
用户名:IUSR_IDC_687
域:IDC-366
登录 ID:(0x0,0x57CBDF)
登录类型:8
登录过程:Advapi
身份验证数据包:Negotiate
工作站名:IDC-366
登录 GUID:-
调用方用户名:NETWORK SERVICE
调用方域:NT AUTHORITY
调用方登录 ID:(0x0,0x3E4)
调用方进程 ID: 3096
传递服务: -
源网络地址:-
源端口:-
有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
======
事件类型:审核成功
事件来源:Security
事件种类:登录/注销
事件 ID:538
日期:2011-1-7
事件:11:55:29
用户:IDC-366\IUSR_IDC_687
计算机:IDC-366
描述:
用户注销:
用户名:IUSR_IDC_687
域:IDC-366
登录 ID:(0x0,0x57CBDF)
登录类型:8
有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
我查了下网上应该是被入侵了,但是我不知道该如何检测,如果删除
[解决办法]
检查下用户IUSR_IDC_687的权限,如果有administrators 权限,基本确定被黑了。
[解决办法]
运行什么服务了吧?
[解决办法]
可能是有人正在试图黑你的电脑。。。推荐关闭guest账户,然后用户密码设置好点。
