论坛: 菜鸟乐园 标题: 紧急求助,2003服务器遭非法入侵!!! 复制本贴地址    
作者: hldnco [hldnco]    论坛用户   登录
一台windows2003服务器,有WEB站点三个,开有80,82,84三个端口,21端口开着,3389开着.机内装有2003自带防火墙,开启了以上所说的80,82,84,3389端口.超级用户被改名,GUEST被停用.本人一直用超级用户,没设其他用户(除开IUSR_WEBSERVER和IWAM_WEBSERVER系统自动生成的).本地IP策略里设置了从90到3388端口全部为拒绝.在关掉防火墙的情况下ping服务器是不通的.并设置了一些本人认为有不良动机的IP,经测试确认这套IP策略是能有效封掉这些不用的端口和非法IP的.

但问题来了,前几天发现服务器里多了一个用户admin$,删除后并立刻改掉超级用户密码.用virusScan和木马克星查毒,没有发现病毒.昨天又发现这个admin$用户又被建立起来了.查日志,选出了4月20日的记录如下:
===============================================================

事件类型:    审核成功
事件来源:    Security
事件种类:    登录/注销
事件 ID:    538
日期:        2005-4-20
事件:        20:03:52
用户:        THE9\admin$
计算机:    THE9
描述:
用户注销:
    用户名:    admin$
    域:        THE9
    登录 ID:        (0x0,0x5721E93)
    登录类型:    10


有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
================================================================
事件类型:    审核成功
事件来源:    Security
事件种类:    特权使用
事件 ID:    576
日期:        2005-4-20
事件:        20:03:49
用户:        THE9\admin$
计算机:    THE9
描述:
指派给新登录的特殊权限:
    用户名:    admin$
    域:        THE9
    登录 ID:        (0x0,0x5721E93)
    特权:    SeChangeNotifyPrivilege
            SeBackupPrivilege
            SeRestorePrivilege
            SeDebugPrivilege

有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
=================================================================
事件类型:    审核成功
事件来源:    Security
事件种类:    登录/注销
事件 ID:    528
日期:        2005-4-20
事件:        20:03:49
用户:        THE9\admin$
计算机:    THE9
描述:
登录成功:
    用户名:    admin$
    域:        THE9
    登录 ID:        (0x0,0x5721E93)
    登录类型:    10
    登录进程:    User32 
    身份验证数据包:    Negotiate
    工作站名:    THE9
    登录 GUID:    -
    调用方用户名:    THE9$
    调用方域:    WORKGROUP
    调用方登录 ID:    (0x0,0x3E7)
    调用方进程 ID: 1040
    传递服务: -
    源网络地址:    218.87.63.210
    源端口:    3860


有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
=================================================================
事件类型:    审核成功
事件来源:    Security
事件种类:    帐户登录
事件 ID:    680
日期:        2005-4-20
事件:        20:03:49
用户:        THE9\admin$
计算机:    THE9
描述:
尝试登录的用户:    MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户:      admin$
源工作站:    THE9
错误代码:    0x0


有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
================================================================
事件类型:    审核成功
事件来源:    Security
事件种类:    登录/注销
事件 ID:    538
日期:        2005-4-17
事件:        5:43:00
用户:        THE9\admin$
计算机:    THE9
描述:
用户注销:
    用户名:    admin$
    域:        THE9
    登录 ID:        (0x0,0x36EEA44)
    登录类型:    10


有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
================================================================
-----------------------------------------------------------------
请朋友们帮忙分析一下登陆类型为10是什么意思,这些事件能看出什么问题来,我该如何防范!

地主 发表时间: 05-04-22 11:10
回复: VIVA [liansc]   论坛用户   登录
这个,,,,,,,不太懂~!

不过,我想问问,这些登录日志是从哪查到的~?!



B1层 发表时间: 05-04-22 18:14
回复: tabris17 [tabris17]   论坛用户   登录
从3389进来的就会留下这种日志――“事件种类:登录/注销 ”

B2层 发表时间: 05-04-22 21:22
回复: fxu2002 [fxu2002]   论坛用户   登录
删注册表好了,一劳永

B3层 发表时间: 05-04-29 20:00

论坛: 菜鸟乐园

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号