瑞星卡卡安全论坛技术交流区入侵防御(HIPS) [请教]用system帐号和NETWORK SERVICE帐号登录的日志记录是不是可以认为是被入侵了!

1   1  /  1  页   跳转

[请教]用system帐号和NETWORK SERVICE帐号登录的日志记录是不是可以认为是被入侵了!

[请教]用system帐号和NETWORK SERVICE帐号登录的日志记录是不是可以认为是被入侵了!

[请教]用system帐号和NETWORK SERVICE帐号登录的日志记录是不是可以认为是被入侵了!

我的服务器记录中有这样的记录!

第一个可疑记录:

事件类型: 审核成功
事件来源: Security
事件种类: 登录/注销
事件 ID: 576
日期:  2008-7-23
事件:  2:25:55
用户:  NT AUTHORITY\NETWORK SERVICE
计算机: BANANA
描述:
指派给新登录的特殊权限:
  用户名: NETWORK SERVICE
  域:  NT AUTHORITY
  登录 ID:  (0x0,0x3E4)
  特权: SeAuditPrivilege
  SeAssignPrimaryTokenPrivilege
  SeImpersonatePrivilege

有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

第二个可疑记录:

事件类型: 审核成功
事件来源: Security
事件种类: 登录/注销
事件 ID: 528
日期:  2008-7-23
事件:  2:25:55
用户:  NT AUTHORITY\SYSTEM
计算机: BANANA
描述:
登录成功:
  用户名:  SYSTEM
  域:  NT AUTHORITY
  登录 ID:  (0x0,0x3E7)
  登录类型:  0
  登录进程:  -
  身份验证数据包:  -
  工作站名: -
  登录 GUID: -
  调用方用户名: -
  调用方域: -
  调用方登录 ID: -
  调用方进程 ID: 4
  传递服务: -
  源网络地址: -
  源端口: -

有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

第三个可疑记录:

事件类型: 审核成功
事件来源: Security
事件种类: 登录/注销
事件 ID: 552
日期:  2008-7-23
事件:  2:14:34
用户:  NT AUTHORITY\SYSTEM
计算机: BANANA
描述:
使用明确凭据的登录尝试:
登录的用户:
  用户名: BANANA$
  域:  WORKGROUP
  登录 ID:  (0x0,0x3E7)
  登录 GUID: -
凭据被使用的用户:
  目标用户名: orange
  目标域: BANANA
  目标登录 GUID: -

目标服务器名称: localhost
目标服务器信息: localhost
调用方进程 ID: 392
源网络地址: 127.0.0.1
源端口: 0


有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

其中第三个可疑记录最为可疑,
我的系统中就没有BANANA$这个帐户,而且他尽然正常登录了!
不知为什这个帐户名和计算机名又相同!
orange是我的管理帐户,这明显是借用我的管理员身份登录!

BANANA$这个帐号不知是哪来的,用户管理中看不到,注册表SAM中也看不到!

大蜘蛛杀毒没有发现病毒!

请教:
1.如何阻止BANANA$这个帐号登录?
2.system帐户是正常登录吗?
3.NETWORK SERVICE帐号是正常登录吗?

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; .NET CLR 1.1.4322; CIBA; MAXTHON 2.0)
分享到:
gototop
 

回复:[请教]用system帐号和NETWORK SERVICE帐号登录的日志记录是不是可以认为是被入侵了...

没有停掉workstation !

第三个是正常的吗?
BANANA$在系统中是没有这个帐号的,我到看不出来正常!
因为这个帐号随后做了很多操作!
而且时间都不是我的操作时间!
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT