lynnzhi - 2009-6-12 16:43:00
在网页服务器上安装一个卡卡,本来是为了方便打补丁,没想到,居然卡卡经常造成windows2008 蓝屏,死机。
查找了日志,看到一堆 kaka的进程,试图登陆 iis 账户。真是莫名其妙。
服务器上,不同的站点,为了安全起见,分配了不懂的iis账户,例如: sitea 、siteb 、.....
想不通为什么卡卡一秒钟要登陆这些用户n次呢?
最终的结果就是蓝屏了。只能卸载卡卡。
日志名称: Security
来源: Microsoft-Windows-Security-Auditing
日期: 2009/6/2 13:42:15
事件 ID: 4625
任务类别: 登录
级别: 信息
关键字: 审核失败
用户: 暂缺
计算机: Server02
说明:
帐户登录失败。
主题:
安全 ID: Server02\Administrator
帐户名: Administrator
帐户域: Server02
登录 ID: 0x154ae1
登录类型: 2
登录失败的帐户:
安全 ID: NULL SID
帐户名: sitea
帐户域: Server02
失败信息:
失败原因: 未知用户名或密码错误。
状态: 0xc000006d
子状态: 0xc000006a
进程信息:
调用方进程 ID: 0xc58
调用方进程名: C:\Program Files\Rising\AntiSpyware\ras.exe
网络信息:
工作站名: Server02
源网络地址: -
源端口: -
详细身份验证信息:
登录进程: Advapi
身份验证数据包: Negotiate
传递服务: -
数据包名(仅限 NTLM): -
密钥长度: 0
登录请求失败时在尝试访问的计算机上生成此事件。
“主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。
“登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。
“进程信息”字段表明系统上的哪个帐户和进程请求了登录。
“网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。
“身份验证信息”字段提供关于此特定登录请求的详细信息。
-“传递服务”指明哪些直接服务参与了此登录请求。
-“数据包名”指明在 NTLM 协议之间使用了哪些子协议。
-“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0。
以下这些登陆失败的记录,全是咱可爱的卡卡干滴。
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.2; MAXTHON 2.0)
查找了日志,看到一堆 kaka的进程,试图登陆 iis 账户。真是莫名其妙。
服务器上,不同的站点,为了安全起见,分配了不懂的iis账户,例如: sitea 、siteb 、.....
想不通为什么卡卡一秒钟要登陆这些用户n次呢?
最终的结果就是蓝屏了。只能卸载卡卡。
日志名称: Security
来源: Microsoft-Windows-Security-Auditing
日期: 2009/6/2 13:42:15
事件 ID: 4625
任务类别: 登录
级别: 信息
关键字: 审核失败
用户: 暂缺
计算机: Server02
说明:
帐户登录失败。
主题:
安全 ID: Server02\Administrator
帐户名: Administrator
帐户域: Server02
登录 ID: 0x154ae1
登录类型: 2
登录失败的帐户:
安全 ID: NULL SID
帐户名: sitea
帐户域: Server02
失败信息:
失败原因: 未知用户名或密码错误。
状态: 0xc000006d
子状态: 0xc000006a
进程信息:
调用方进程 ID: 0xc58
调用方进程名: C:\Program Files\Rising\AntiSpyware\ras.exe
网络信息:
工作站名: Server02
源网络地址: -
源端口: -
详细身份验证信息:
登录进程: Advapi
身份验证数据包: Negotiate
传递服务: -
数据包名(仅限 NTLM): -
密钥长度: 0
登录请求失败时在尝试访问的计算机上生成此事件。
“主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。
“登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。
“进程信息”字段表明系统上的哪个帐户和进程请求了登录。
“网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。
“身份验证信息”字段提供关于此特定登录请求的详细信息。
-“传递服务”指明哪些直接服务参与了此登录请求。
-“数据包名”指明在 NTLM 协议之间使用了哪些子协议。
-“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0。
以下这些登陆失败的记录,全是咱可爱的卡卡干滴。
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.2; MAXTHON 2.0)