100分征求高手看2003系统安全日志,两天内的。不知道安全问题出在哪儿了!谢谢。
以下是日志。winun_pengyun_user这个用户是我使用的。但碰巧这两天不在。但还是记录了这两天有人用我的账号登录。
内容太长,分几次发不日志内容。
2010-1-198:42:32Security审核成功策略改动 615NT AUTHORITY\NETWORK SERVICESERVER"IPSEC 服务: PAStore 引擎进行了轮询以了解对活动的 IPSec 策略的更改,没有检测到更改。
"
2010-1-195:42:32Security审核成功策略改动 615NT AUTHORITY\NETWORK SERVICESERVER"IPSEC 服务: PAStore 引擎进行了轮询以了解对活动的 IPSec 策略的更改,没有检测到更改。
"
2010-1-195:00:52Security审核成功登录/注销 538SERVER\IUSR_SERVERSERVER"用户注销:
用户名:IUSR_SERVER
域:SERVER
登录 ID:(0x0,0x840A9B60)
登录类型:8
"
2010-1-195:00:52Security审核成功详细追踪 593NT AUTHORITY\NETWORK SERVICESERVER"已经退出某过程:
进程 ID:3980
图像文件名:C:\WINDOWS\system32\inetsrv\w3wp.exe
用户名:NETWORK SERVICE
域:NT AUTHORITY
登录 ID:(0x0,0x3E4)
"
2010-1-195:00:51Security审核成功登录/注销 540SERVER\IUSR_SERVERSERVER"成功的网络登录:
用户名:IUSR_SERVER
域:SERVER
登录 ID:(0x0,0xBBACA654)
登录类型:8
登录过程:Advapi
身份验证数据包:Negotiate
工作站名:SERVER
登录 GUID:-
调用方用户名:NETWORK SERVICE
调用方域:NT AUTHORITY
调用方登录 ID:(0x0,0x3E4)
调用方进程 ID: 3936
传递服务: -
源网络地址:-
源端口:-
"
2010-1-195:00:51Security审核成功登录/注销 552NT AUTHORITY\NETWORK SERVICESERVER"使用明确凭据的登录尝试:
登录的用户:
用户名:NETWORK SERVICE
域:NT AUTHORITY
登录 ID:(0x0,0x3E4)
登录 GUID:-
凭据被使用的用户:
目标用户名:IUSR_SERVER
目标域:SERVER
目标登录 GUID: -
目标服务器名称:localhost
目标服务器信息:localhost
调用方进程 ID:3936
源网络地址:-
源端口:-
"
2010-1-195:00:51Security审核成功帐户登录 680SERVER\IUSR_SERVERSERVER"尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户: IUSR_SERVER
源工作站: SERVER
错误代码: 0x0
"
2010-1-195:00:50Security审核成功登录/注销 538SERVER\IUSR_SERVERSERVER"用户注销:
用户名:IUSR_SERVER
域:SERVER
登录 ID:(0x0,0x8409904B)
登录类型:8
"
2010-1-195:00:50Security审核成功详细追踪 593NT AUTHORITY\NETWORK SERVICESERVER"已经退出某过程:
进程 ID:2612
图像文件名:C:\WINDOWS\system32\inetsrv\w3wp.exe
用户名:NETWORK SERVICE
域:NT AUTHORITY
登录 ID:(0x0,0x3E4)
"
2010-1-195:00:49Security审核成功详细追踪 593NT AUTHORITY\NETWORK SERVICESERVER"已经退出某过程:
进程 ID:3968
图像文件名:C:\WINDOWS\system32\inetsrv\davcdata.exe
用户名:NETWORK SERVICE
域:NT AUTHORITY
登录 ID:(0x0,0x3E4)
"
2010-1-195:00:47Security审核成功登录/注销 540SERVER\IUSR_SERVERSERVER"成功的网络登录:
用户名:IUSR_SERVER
域:SERVER
登录 ID:(0x0,0xBBAC7705)
登录类型:8
登录过程:Advapi
身份验证数据包:Negotiate
工作站名:SERVER
登录 GUID:-
调用方用户名:NETWORK SERVICE
调用方域:NT AUTHORITY
调用方登录 ID:(0x0,0x3E4)
调用方进程 ID: 412
传递服务: -
源网络地址:-
源端口:-
"
2010-1-195:00:47Security审核成功登录/注销 552NT AUTHORITY\NETWORK SERVICESERVER"使用明确凭据的登录尝试:
登录的用户:
用户名:NETWORK SERVICE
域:NT AUTHORITY
登录 ID:(0x0,0x3E4)
登录 GUID:-
凭据被使用的用户:
目标用户名:IUSR_SERVER
目标域:SERVER
目标登录 GUID: -
目标服务器名称:localhost
目标服务器信息:localhost
调用方进程 ID:412
源网络地址:-
源端口:-
"
2010-1-195:00:47Security审核成功帐户登录 680SERVER\IUSR_SERVERSERVER"尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户: IUSR_SERVER
源工作站: SERVER
错误代码: 0x0
"
2010-1-195:00:46Security审核成功详细追踪 600NT AUTHORITY\SYSTEMSERVER"分派给进程一个主令牌。
分配进程信息:
进程 ID:1604
图像文件名:C:\WINDOWS\system32\svchost.exe
主用户名:SERVER$
主域:WORKGROUP
主登录 ID:(0x0,0x3E7)
新进程信息:
进程 ID:412
图像文件名:C:\WINDOWS\system32\inetsrv\w3wp.exe
目标用户名:NETWORK SERVICE
目标域:NT AUTHORITY
目标登录 ID:(0x0,0x3E4)
"
2010-1-195:00:46Security审核成功详细追踪 592NT AUTHORITY\SYSTEMSERVER"已经创建新的过程:
新的进程 ID:412
映像文件名:C:\WINDOWS\system32\inetsrv\w3wp.exe
创建者进程 ID:1604
用户名:SERVER$
域:WORKGROUP
登录 ID:(0x0,0x3E7)
"
2010-1-195:00:42Security审核成功详细追踪 600NT AUTHORITY\SYSTEMSERVER"分派给进程一个主令牌。
分配进程信息:
进程 ID:1604
图像文件名:C:\WINDOWS\system32\svchost.exe
主用户名:SERVER$
主域:WORKGROUP
主登录 ID:(0x0,0x3E7)
新进程信息:
进程 ID:3936
图像文件名:C:\WINDOWS\system32\inetsrv\w3wp.exe
目标用户名:NETWORK SERVICE
目标域:NT AUTHORITY
目标登录 ID:(0x0,0x3E4)
"
2010-1-195:00:42Security审核成功详细追踪 592NT AUTHORITY\SYSTEMSERVER"已经创建新的过程:
新的进程 ID:3936
映像文件名:C:\WINDOWS\system32\inetsrv\w3wp.exe
创建者进程 ID:1604
用户名:SERVER$
域:WORKGROUP
登录 ID:(0x0,0x3E7)
"
2010-1-195:00:11Security审核成功登录/注销 538SERVER\IUSR_SERVERSERVER"用户注销:
用户名:IUSR_SERVER
域:SERVER
登录 ID:(0x0,0x97D646E0)
登录类型:8
"
2010-1-195:00:11Security审核成功详细追踪 593NT AUTHORITY\NETWORK SERVICESERVER"已经退出某过程:
进程 ID:5660
图像文件名:C:\WINDOWS\system32\inetsrv\w3wp.exe
用户名:NETWORK SERVICE
域:NT AUTHORITY
登录 ID:(0x0,0x3E4)
"
2010-1-195:00:09Security审核成功登录/注销 540SERVER\IUSR_SERVERSERVER"成功的网络登录:
用户名:IUSR_SERVER
域:SERVER
登录 ID:(0x0,0xBBAA441A)
登录类型:8
登录过程:Advapi
身份验证数据包:Negotiate
工作站名:SERVER
登录 GUID:-
调用方用户名:NETWORK SERVICE
调用方域:NT AUTHORITY
调用方登录 ID:(0x0,0x3E4)
调用方进程 ID: 3800
传递服务: -
源网络地址:-
源端口:-
"
[解决办法]
帮顶了
[解决办法]
应该是被黑了,楼主看看这个贴子,类似的情况。http://www.qqgb.com/NetWorkSecurity/WebsiteSafe/NetWorkSecurity_242766.html
[解决办法]
1.楼主不应查看安全日志,应以系统和应用程序中的错误或警告日志为主,安全日志要征对怀疑的记录而言
2.楼主贴出了一大堆无用日志,最好先整理一下
几个账户的注销、登录、创建、销毁进程:NETWORK SERVICE SERVER、IUSR_SERVER、SYSTEM SERVER、winun_pengyun_user
几个服务和进程:IPSEC、w3wp.exe、svchost.exe、java.exe、liveupdate360.exe、wmiprvse.exe、HelpSvc.exe、davcdata.exe
3.看不出有什么攻击意图,如有远程连接嫌疑,账户、进程、端口仅上面几个正常的账户、进程和服务是看不出来的
4.如楼主还是怀疑,可关闭相应的服务和进程,清空日志后重启系统再查看
@echo offecho 关闭360自动升级taskkill /im liveupdate360.exe /fren "D:\Program Files\360\360Safe\liveupdate360.exe" liveupdate360.exe.bakecho 关闭java和360自启动托盘项reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /fecho 关闭IIS服务sc config w3svc start= disabledsc config iisadmin start= disablednet stop w3svc /ynet stop iisadmin /yecho 关闭Helpsvc服务sc config helpsvc start= disablednet stop helpsvc /yecho 关闭IPSec服务sc config policyagent start= disablednet stop policyagent /yecho 关闭winmgmt服务sc config winmgmt start= disablednet stop winmgmt /yecho OKpause>nul
[解决办法]
呵呵,好的
[解决办法]
帮顶下
[解决办法]
顶
[解决办法]
能不能把出问题的信息拿出来,这样看着也方便。
[解决办法]
换一种方式可能会更好
