瑞星卡卡安全论坛技术交流区入侵防御(HIPS) win2008服务器安全问题,日志里怎么这么多登录事件

1   1  /  1  页   跳转

win2008服务器安全问题,日志里怎么这么多登录事件

win2008服务器安全问题,日志里怎么这么多登录事件

安装了一台windows2008 R2 64位的服务器,之前没在意,最近在访问高峰期间会卡,而且日志里出现了很多登陆事件,每隔10分钟会登陆一次,这个图是登录记录,诡异的是貌似都是本机上的登陆,找不到来源IP,下面有每次登陆的详细信息,请大牛们给看看到底是怎么回事?跪谢!
[img]https://pic3.zhimg.com/82a5c423d7ef726a78409e21d02ab17a_b.jpg[/img]



每次登陆的三个事件详细信息:
事件一:
试图使用显式凭据登录。


主题:
安全 ID:
SYSTEM
帐户名:
WIN-ECA8AMF8IQ9$
帐户域:
WORKGROUP
登录 ID:
0x3e7
登录 GUID:
{00000000-0000-0000-0000-000000000000}


使用了哪个帐户的凭据:
帐户名:
SYSTEM
帐户域:
NT AUTHORITY
登录 GUID:
{00000000-0000-0000-0000-000000000000}


目标服务器:
目标服务器名:
localhost
附加信息:
localhost


进程信息:
进程 ID:
0x260
进程名:
C:\Windows\System32\services.exe


网络信息:
网络地址:
-
端口:
-


在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。
==============================================
事件二(字数限制,见回复):
已成功登录帐户。


主题:
安全 ID:
SYSTEM
帐户名:
WIN-ECA8AMF8IQ9$
帐户域:
WORKGROUP
登录 ID:
0x3e7


登录类型:
5


新登录:
安全 ID:
SYSTEM
帐户名:
SYSTEM
帐户域:
NT AUTHORITY
登录 ID:
0x3e7
登录 GUID:
{00000000-0000-0000-0000-000000000000}


进程信息:
进程 ID:
0x260
进程名:
C:\Windows\System32\services.exe


网络信息:
工作站名:
源网络地址:
-
源端口:
-


详细身份验证信息:
登录进程:
Advapi 
身份验证数据包:
Negotiate
传递服务:
-
数据包名(仅限 NTLM):
-
密钥长度:
0


在创建登录会话后在被访问的计算机上生成此事件。


“主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。


“登录类型”字段指明发生的登录种类。最常见的类型是 2 (交互式)和 3 (网络)。


“新登录”字段会指明新登录是为哪个帐户创建的,即登录的帐户。


“网络”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。


“身份验证信息”字段提供关于此特定登录请求的详细信息。
-“登录 GUID”是可以用于将此事件与一个 KDC 事件关联起来的唯一标识符。
-“传递服务”指明哪些直接服务参与了此登录请求。
- “数据包名”指明在 NTLM 协议之间使用了哪些子协议。
-“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥则此字段为 0。
=====================================
事件三:
为新登录分配了特殊权限。


主题:
安全 ID:
SYSTEM
帐户名:
SYSTEM
帐户域:
NT AUTHORITY
登录 ID:
0x3e7


特权:
SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege


===================================
真的很诡异 都是间隔10分钟。administrator已禁用,新建的管理员账户。安装了IIS,PHP、Mysql,MSSQL,发现有这种异常登录后安装了360的主机安全软件,360杀毒服务器版,也没有作用。还望大侠们给看看是怎么回事,应该怎么处理,先拜谢了!

用户系统信息:Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36
分享到:
gototop
 

回复:win2008服务器安全问题,日志里怎么这么多登录事件

建议改个密码
如果是账户登录,任务管理器里也能看吧,可以观察下
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT