|
 | 作者: sjbadnow1 [sjbadnow1]
 论坛用户 |
登录 |
| 我用的是2000professional。 这几天察看日志,发现了些奇怪的登入审核?? “登录类型:3” 是何意?7又是何意? 还有一些我根本就没有用过的用户名?? 下面是两段日志: 登录失败: 原因: 用户名未知或密码错误 用户名: Owner 域: XXX-8A547A77027 登录类型: 3 登录过程: NtLmSsp 身份验证程序包: NTLM 工作站名: XXX-8A547A77027 登录成功: 用户名: sj 域: SUPERSJ 登录 ID: (0x0,0x6EF0F) 登录类型: 7 登录过程: User32 身份验证程序包: Negotiate 工作站名: SUPERSJ [此贴被 sjbadnow1(sjbadnow1) 在 07月12日14时57分 编辑过] |
| 地主 发表时间: 07/12 14:16 |
 | 回复: xpx [xpx]  论坛用户 |
登录 |
|
关注 |
| B1层 发表时间: 07/12 19:14 |
 | 回复: max_ax [max_ax] 论坛用户 |
登录 |
|
不懂 日志是这样的吗?? |
| B2层 发表时间: 07/12 20:02 |
 | 回复: aney [aney] 论坛用户 |
登录 |
|
有点像!!不过有没有其他人用过你电脑呢!! |
| B3层 发表时间: 07/12 21:18 |
| 回复: sjbadnow1 [sjbadnow1] 论坛用户 |
登录 |
|
有,那只有我爸爸。 但是他不会用些乱七八糟的用户名,我爸打字都不会。 |
| B4层 发表时间: 07/12 23:10 |
 | 回复: hacker521 [hacker521]  论坛用户 |
登录 |
|
那就是被别人署名登陆了罗,我建议你先不要删他,去下一个冰河陷阱,看看他想干什么,然后再想办法查他IP吧 |
| B5层 发表时间: 07/13 06:31 |
| 回复: keke [keke1]  论坛用户 |
登录 |
|
|
| B6层 发表时间: 07/13 10:12 |
| 回复: sjbadnow1 [sjbadnow1] 论坛用户 |
登录 |
|
谢谢你hacker521,什么是冰河陷阱? 怎么玩的。 我昨天晚上由于担心这家伙搞破坏,我已经把他删掉了。 不过我在防火墙日志上看到两个想入侵我的ip,都被防火墙堵上了。 他们的ip: 218.149.21.134 172.141.9.226 不知道他们想干啥? |
| B7层 发表时间: 07/13 11:24 |
| 回复: all528 [all528] 论坛用户 |
登录 |
|
晕 两个IP悬殊那么大啊 是不是跳板啊 |
| B8层 发表时间: 07/13 20:07 |
| 回复: sjbadnow1 [sjbadnow1] 论坛用户 |
登录 |
|
搞不清楚,很有肯能使两个不同的家伙同时盯上了我的机子。 其中有个家伙就有肯能是那个原来登入过我机子的。 登录失败: 原因: 用户名未知或密码错误 用户名: administrator 域: 001-ZMXH1K5C25A 登录类型: 3 登录过程: NtLmSsp 身份验证程序包: NTLM 工作站名: 001-ZMXH1K5C25A 登录失败: 原因: 用户名未知或密码错误 用户名: administrator 域: 001-ZMXH1K5C25A 登录类型: 3 登录过程: NtLmSsp 身份验证程序包: NTLM 工作站名: 001-ZMXH1K5C25A 登录失败: 原因: 用户名未知或密码错误 用户名: administrator 域: 001-ZMXH1K5C25A 登录类型: 3 登录过程: NtLmSsp 身份验证程序包: NTLM 工作站名: 001-ZMXH1K5C25A 登录失败: 原因: 用户名未知或密码错误 用户名: administrator 域: 001-ZMXH1K5C25A 登录类型: 3 登录过程: NtLmSsp 身份验证程序包: NTLM 工作站名: 001-ZMXH1K5C25A 登录失败: 用户名: root 域: 001-ZMXH1K5C25A 登录类型: 3 登录过程: NtLmSsp 身份验证程序包: NTLM 工作站名: 001-ZMXH1K5C25A …………………… 还有很多失败的登入,这个家伙今天还在不断的骚扰我的机子。 而我查不到他的ip. |
| B9层 发表时间: 07/13 22:13 |
| 回复: sjbadnow1 [sjbadnow1] 论坛用户 |
登录 |
|
妈的!我怎么只有防守的份,大家都算在网上混过。 大家帮帮我! 他的ip 我刚才看到了好像是211.99.22.* 没看清,哎,只有等下次他在来了。 |
| B10层 发表时间: 07/13 22:20 |
| 回复: sjbadnow1 [sjbadnow1] 论坛用户 |
登录 |
|
我找到它的ip和方法了, ip211.99.27.77,端口号4657 这个家伙前天在我的机子里放入了个木马: C:\WINNT\system32\svchost.exe 哈哈哈,我终于懂了,大家别客气, 跟他玩玩!! *********** 还有谢谢大家对我的关心和帮助,如果有想跟我一起 攻击一下这家伙的可以跟我联系我。我的邮箱是 Junnicesu@yahoo.com.cn. 不过兄弟们我自报了这么多的信息给大家,大家不会黑我吧?! |
| B11层 发表时间: 07/13 22:34 |
| 回复: hacker521 [hacker521] 论坛用户 |
登录 |
|
看来他是用了肉鸡在入侵你哟,你最好在最近小心点,把没补上的漏洞都补上,时刻注意新漏洞的公布,这对你会有帮助的 |
| B12层 发表时间: 07/14 08:02 |
 | 回复: tmxk [tmxk]  论坛用户 |
登录 |
|
C:\WINNT\system32\svchost.exe 这个不会是木马。 |
| B13层 发表时间: 07/14 10:06 |
| 回复: sjbadnow1 [sjbadnow1] 论坛用户 |
登录 |
|
和有可能他把木马的名字改成 svchost,并用它连接我的机子 对了,在你的电脑里的进程中有几个svchost |
| B14层 发表时间: 07/15 00:25 |
 | 回复: bluexf [bluexf]  论坛用户 |
登录 |
|
偶尔防火墙会弹出svchost程序连接申请,它是做什么用的?我每次都是拒绝。 还有,我的管理员密码没有设,是不是不太安全…… |
| B15层 发表时间: 07/15 11:09 |
 | 回复: tianyecool [tianyecool] 论坛用户 |
登录 |
|
那个是后门吧 |
| B16层 发表时间: 07/15 17:23 |
| 回复: sjbadnow1 [sjbadnow1] 论坛用户 |
登录 |
|
看起来不是后门,使系统的一个网络组件,但是要知道 当别人攻击你的时,肯定户把后门程序改名的。 关键是看系统进程中有几个gvchost.exe,如果有3个以上肯定不正常。 但我现在不知道应该是几个? |
| B17层 发表时间: 07/16 15:36 |
 | 回复: badboy [badboy] 论坛用户 |
登录 |
|
抢他肉鸡。然后去干掉他。 |
| B18层 发表时间: 07/16 15:59 |
 | 回复: C300 [celeron]  论坛用户 |
登录 |
|
后来的日志中可以看出,他好像在穷举你的管理员密码! 建议:在策略组里禁止枚举密码! |
| B19层 发表时间: 07/16 16:21 |
| 回复: hacker521 [hacker521] 论坛用户 |
登录 |
|
可以把密码设置的强壮些,让他扫几天都扫不出,和和 |
| B20层 发表时间: 07/17 10:34 |
 | 回复: hawkboy [hawkboy] 论坛用户 |
登录 |
|
建议继续关注,查杀木马,然后反攻! |
| B21层 发表时间: 07/17 11:15 |
| 回复: doss [doss] 论坛用户 |
登录 |
|
ip211.99.27.77是北京teletron公司的IP段里的IP地址 |
| B22层 发表时间: 07/17 22:13 |
| 回复: sjbadnow1 [sjbadnow1] 论坛用户 |
登录 |
|
兄弟们,谢谢关心! 很不幸,昨天我已经重装了系统了,我在另一个系统中删除了 和gvchost有关的几个dll文件,当我再进系统就已经出问题了。 然后我再把那几个dll恢复后,系统还是有问题。 看来,gvchost是windows的一个关键组件,我删错了,真正时候们的那个还在系统里,都怪我不小心。 我当时记得,还删了像netshell之类的。 大家继续关注,不知道那个入侵的ip是不是肉鸡。 你们别光看,大家自己去看看。要知道我没什么技术的,我说不定搞不定。 再次谢谢大家。 |
| B23层 发表时间: 07/18 14:53 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 菜鸟乐园 标题: 我的电脑遭入侵了??(高手帮看看)