[请教]用system帐号和NETWORK SERVICE帐号登录的日志记录是不是可以认为是被入侵了!
[请教]用system帐号和NETWORK SERVICE帐号登录的日志记录是不是可以认为是被入侵了!
我的服务器记录中有这样的记录!
第一个可疑记录:事件类型: 审核成功
事件来源: Security
事件种类: 登录/注销
事件 ID: 576
日期: 2008-7-23
事件: 2:25:55
用户: NT AUTHORITY\NETWORK SERVICE
计算机: BANANA
描述:
指派给新登录的特殊权限:
用户名: NETWORK SERVICE
域: NT AUTHORITY
登录 ID: (0x0,0x3E4)
特权: SeAuditPrivilege
SeAssignPrimaryTokenPrivilege
SeImpersonatePrivilege有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。第二个可疑记录:事件类型: 审核成功
事件来源: Security
事件种类: 登录/注销
事件 ID: 528
日期: 2008-7-23
事件: 2:25:55
用户: NT AUTHORITY\SYSTEM
计算机: BANANA
描述:
登录成功:
用户名: SYSTEM
域: NT AUTHORITY
登录 ID: (0x0,0x3E7)
登录类型: 0
登录进程: -
身份验证数据包: -
工作站名: -
登录 GUID: -
调用方用户名: -
调用方域: -
调用方登录 ID: -
调用方进程 ID: 4
传递服务: -
源网络地址: -
源端口: -有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。第三个可疑记录:事件类型: 审核成功
事件来源: Security
事件种类: 登录/注销
事件 ID: 552
日期: 2008-7-23
事件: 2:14:34
用户: NT AUTHORITY\SYSTEM
计算机: BANANA
描述:
使用明确凭据的登录尝试:
登录的用户:
用户名: BANANA$
域: WORKGROUP
登录 ID: (0x0,0x3E7)
登录 GUID: -
凭据被使用的用户:
目标用户名: orange
目标域: BANANA
目标登录 GUID: -目标服务器名称: localhost
目标服务器信息: localhost
调用方进程 ID: 392
源网络地址: 127.0.0.1
源端口: 0有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。其中第三个可疑记录最为可疑,
我的系统中就没有BANANA$这个帐户,而且他尽然正常登录了!
不知为什这个帐户名和计算机名又相同!
orange是我的管理帐户,这明显是借用我的管理员身份登录!
BANANA$这个帐号不知是哪来的,用户管理中看不到,注册表SAM中也看不到!
大蜘蛛杀毒没有发现病毒!
请教:1.如何阻止BANANA$这个帐号登录?
2.system帐户是正常登录吗? 3.NETWORK SERVICE帐号是正常登录吗? 用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; .NET CLR 1.1.4322; CIBA; MAXTHON 2.0)
