海浩网论坛

标题: 借这里的人气来个求助 [打印本页]

作者: 将臣 时间: 2010-11-13 21:57:20 标题: 借这里的人气来个求助

服务器好象被入侵了
今天服务器死机，检查发现居然莫名其妙增加了两个用户，一个是"1"，一个是"chen"
看了下事件查看器：
事件类型:       审核成功
事件来源:       Security
事件种类:       登录/注销
事件 ID:       528
日期:             2010-11-11
事件:             5:00:41
用户:             S-1-5-21-1398341162-3899977192-969703472-1006
计算机:       SERVER4
描述:
登录成功:
      用户名:       1
      域:                SERVER4
      登录 ID:                (0x0,0x85C7D119)
      登录类型:       10
      登录进程:       User32
      身份验证数据包:       Negotiate
      工作站名:       SERVER4
      登录 GUID:       -
      调用方用户名:       SERVER4$
      调用方域:       WORKGROUP
      调用方登录 ID:       (0x0,0x3E7)
      调用方进程 ID: 2196
      传递服务: -
      源网络地址:       58.42.46.45
      源端口:       1986
有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

-----------------------------------------------------------------------------------

事件类型:       审核成功
事件来源:       Security
事件种类:       登录/注销
事件 ID:       528
日期:             2010-10-31
事件:             16:23:24
用户:             S-1-5-21-1398341162-3899977192-969703472-1005
计算机:       SERVER4
描述:
登录成功:
      用户名:       chen
      域:                SERVER4
      登录 ID:                (0x0,0x79FCDB8B)
      登录类型:       10
      登录进程:       User32
      身份验证数据包:       Negotiate
      工作站名:       SERVER4
      登录 GUID:       -
      调用方用户名:       SERVER4$
      调用方域:       WORKGROUP
      调用方登录 ID:       (0x0,0x3E7)
      调用方进程 ID: 7032
      传递服务: -
      源网络地址:       114.239.13.208
      源端口:       4041
有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

请高手帮忙分析一下

作者: richstar 时间: 2010-11-13 22:25:53

要求助万能的妮可了~~

个人认为是被入侵了~~

作者: daydaymovie 时间: 2010-11-13 23:39:35

光看账号是没有用的,看服务器上开了什么服务?

作者: 将臣 时间: 2010-11-14 12:45:00

开了远程桌面

现在关了。。。

欢迎光临海浩网论坛 (http://bbs.highot.net/)