服务器被入侵 日志记录如下.
安全日志
2006-11-2 16:42:11 Security 成功审核 登录/注销 683 S-1-5-21-448539723-1677128483-725345543-1004 SOSAND "会话从 winstation 中断连接:
用户名: hackdf$
域: SOSAND
登录 ID: (0x0,0xA177087)
会话名称: Unknown
客户端名: AISDF
客户端地址: 61.175.198.194 "
2006-11-2 16:06:52 Security 失败审核 帐户登录 681 NT AUTHORITY\SYSTEM SOSAND 登录到帐户: hackdf$
登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
从工作站: SOSAND
未成功。错误代码是: 3221225572
2006-11-2 16:06:52 Security 失败审核 登录/注销 529 NT AUTHORITY\SYSTEM SOSAND "登录失败:
原因: 用户名未知或密码错误
用户名: hackdf$
域: SOSAND
登录类型: 2
登录过程: User32
身份验证程序包: Negotiate
工作站名: SOSAND "
应用日志
2006-11-2 16:26:31 MSSQLSERVER 信息 (2) 17055 S-1-5-21-448539723-1677128483-725345543-1004 SOSAND 8128:
使用 'xpstar.dll' 版本 '2000.80.760' 来执行扩展存储过程 'sp_MSgetversion'。
2006-11-2 16:23:44 MsiInstaller 信息 无 11728 S-1-5-21-448539723-1677128483-725345543-1004 SOSAND Product: WebFldrs -- Configuration completed successfully.
系统日志
2006-11-2 16:40:12 TermServDevices 错误 无 1106 N/A SOSAND 无法安装打印机。
2006-11-2 16:40:12 TermServDevices 错误 无 1111 N/A SOSAND 打印机 Microsoft Office Document Image Writer 所需的驱动程序 Microsoft Office Document Image Writer Driver 未知。登录之前,请与管理员联系,安装驱动程序。
2006-11-2 16:23:34 TermServDevices 错误 无 1106 N/A SOSAND 无法安装打印机。
2006-11-2 16:23:34 TermServDevices 错误 无 1111 N/A SOSAND 打印机 Microsoft Office Document Image Writer 所需的驱动程序 Microsoft Office Document Image Writer Driver 未知。登录之前,请与管理员联系,安装驱动程序。
问题点数:100、回复次数:10Top
1 楼asp2001(小黑侠)回复于 2006-11-02 18:10:26 得分 0
不知道是用什么方法入侵的 太丢人了 请高手指点.
Top
2 楼jspadmin(阿笨狗http://www.pifoo.com域名空间专卖cn20、com50元)回复于 2006-11-02 18:43:32 得分 5
自己先扫描下自己服务器开放了哪些端口Top
3 楼shiliangdong(Stou)回复于 2006-11-02 20:39:25 得分 0
upTop
4 楼wdx2008(夜雨寒窗)回复于 2006-11-02 22:25:14 得分 5
上面的记录看不出具体怎么拿到权限的
尽快给服务器设置一下吧.
给磁盘和文件夹分配适当的权限.
特别注意的是默认C盘有Everyone的权限,一定要去掉
IIS的权限设置你可以网上找些资料看,有点麻烦
IIS权限设置好了一般黑客就算拿到网站也拿不到服务器权限的
QQ66335604Top
5 楼bimyboy(★浩天雪狐★)回复于 2006-11-03 09:16:16 得分 5
感觉应该是用软件干的
检查你服务器上有否装防火墙
还有就是文件权限的设置
把默认开放的权限去掉
采用专有权限Top
6 楼anwell(清风.Net 1982y.Net.Cn)回复于 2006-11-03 09:53:27 得分 20
你的网站有注入
Top
7 楼chenguang79(小虫)回复于 2006-11-03 10:00:15 得分 0
重这些信息看不出是通过哪种方法进入的啊Top
8 楼FBug(花知)回复于 2006-11-03 10:12:35 得分 65
2006-11-2 16:42:11 Security 成功审核 登录/注销 683 S-1-5-21-448539723-1677128483-725345543-1004 SOSAND "会话从 winstation 中断连接:
用户名: hackdf$
域: SOSAND
登录 ID: (0x0,0xA177087)
会话名称: Unknown
客户端名: AISDF
客户端地址: 61.175.198.194 "
---------------------------------------------------
已经连接上来过了。通过mstsc。 它的IP 61.175.198.194 可以去报案.
查询结果1:浙江省杭州市 电信
查询结果2:浙江省杭州市 滨江高教园区
这两个是他做的。
sp_MSgetversion 获取版本的。
msiexec /x %windir%\system32\webfldrs.msi 删了它。
至于系统日志说 无法安装打印机。 不一定是黑客所为。Top
9 楼storm0(飘零雾雨.闻弦歌而知雅意,顾叶落而晓秋至)回复于 2006-11-03 10:15:46 得分 0
mark!Top
10 楼asp2001(小黑侠)回复于 2006-11-03 11:39:15 得分 0
安装个补丁:Windows2000-KB873333-x86-CHS 用来修复webfldrs.msi提升权限漏洞
装了以后 网站就打不开了 日志里全是:
-------------------------系统日志-------------------------
服务器 {3D14228D-FBE1-11D0-995D-00C04FD919C1} 没有在限定的时间内用 DCOM 注册。
-------------------------应用日志-------------------------
运行时环境在其内部状态检测到不一致。请向 Microsoft 产品支持服务部门报告此错误。*** Error in __FILE__(926): Application image dump failed.
由于在下列系统 API 错误,COM+ 服务无法初始化。它通常是由本地计算机的系统资源存储问题引起的。
CryptAcquireContext
进程名称: dllhost.exe
该错误的严重性已导致进程终止。
错误代码= 0x80090017 : 提供程序类型未被定义。
COM+ 服务内部信息:
文件: .\security.cpp, 行: 643
Top
