我服务器的安全日志上这几天经常出现下面这样的事件,是不是被攻击了呢?
事件类型: 成功审核
事件来源: Security
事件种类: 帐户管理
事件 ID: 642
日期: 2004-10-31
事件: 23:42:22
用户: NT AUTHORITY\SYSTEM
计算机: BDSD-JSFD2QIIDQ
描述:
更改了用户帐户:
已锁定帐户。
目标帐户名称: Guest
目标域: BDSD-JSFD2QIIDQ
目标帐户 ID: BDSD-JSFD2QIIDQ\Guest
呼叫方用户名: BDSD-JSFD2QIIDQ$
呼叫方所属域: WORKGROUP
呼叫方登录 ID: (0x0,0x3E7)
特权: -
事件类型: 成功审核
事件来源: Security
事件种类: 帐户管理
事件 ID: 644
日期: 2004-10-31
事件: 23:42:22
用户: NT AUTHORITY\SYSTEM
计算机: BDSD-JSFD2QIIDQ
描述:
用户帐户被锁住:
目标帐户名: Guest
目标帐户 ID: BDSD-JSFD2QIIDQ\Guest
呼叫方机器名: HOME1
呼叫方用户名: BDSD-JSFD2QIIDQ$
呼叫方所属域: WORKGROUP
呼叫方登录 ID: (0x0,0x3E7)
问题点数:50、回复次数:9Top
1 楼jerryfly(子辰)回复于 2004-11-01 11:59:38 得分 0
可能,那你看看你的网里有没有一个BDSD-JSFD2QIIDQ 这个用户呀,Top
2 楼dendoll(雪谷飞鹰)回复于 2004-11-01 12:43:55 得分 0
BDSD-JSFD2QIIDQ这个是我的机器名啊,像上面的情况不知道它是否会已经可以控制我的机器了呢?以后又应该如何防范呢?Top
3 楼lslmj(priest)回复于 2004-11-01 14:49:28 得分 0
对呀..我的机器也出现过这种情况..真是可怕Top
4 楼huawei8(花伟)回复于 2004-11-01 14:54:16 得分 25
将Guest用户停用或删除。Top
5 楼lw6983(我是风儿)回复于 2004-11-02 09:39:46 得分 0
远程共享禁用也可以吧
Top
6 楼dendoll(雪谷飞鹰)回复于 2004-11-02 10:50:49 得分 0
IUSR_JSFD2QIIDQ
IWAM_JSFD2QIIDQ
也有用像用上面两个账号进行登录的呢?有什么好办法吗?Top
7 楼hediant(何)回复于 2004-11-02 12:08:42 得分 25
IUSR_JSFD2QIIDQ
IWAM_JSFD2QIIDQ
都是正常用户。
也许你自己锁定了GUEST用户,结果忘记了。因为执行操作的是你的本机,而且试图登陆的是被锁定的GUEST帐户。
从你给的信息看,无法判断是否受到攻击。
你应该查看你的机器的登陆信息(10月31日这段时间的),是否有特权用户在此段时间内登陆,或有新的用户被注册成系统用户。
应该说,你的系统并未受到破坏。Top
8 楼dendoll(雪谷飞鹰)回复于 2004-11-02 13:18:27 得分 0
hediant(何) ,可能是吧,因为我把guest进行了加密后停止的该用户。
1、你说执行操作的是本机,可是我没有对它操作,那样的话会有什么可能呢?
2、在"本地用户和组-->用户"里经常能看到一些莫明其妙的用户,又应如何防范呢?Top
9 楼dendoll(雪谷飞鹰)回复于 2004-11-02 13:30:19 得分 0
hediant(何) 说的非常好,第一个事件是我自已停止guest时的事件,就是说是我自已操作的结果。
那
2、在"本地用户和组-->用户"里经常能看到一些莫明其妙的用户,又应如何防范呢?
这条可就不明白了?Top
