登录过程:advapi ,我是不是被入侵了?
事件类型: 审核成功
事件来源: Security
事件种类: 帐户登录
事件 ID: 680
日期: 2011-1-7
事件: 11:30:27
用户: IDC-366\IUSR_IDC_687
计算机: IDC-366
描述:
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户: IUSR_IDC_687
源工作站: IDC-366
错误代码: 0x0
有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
=======
事件类型: 审核成功
事件来源: Security
事件种类: 登录/注销
事件 ID: 540
日期: 2011-1-7
事件: 11:30:27
用户: IDC-366\IUSR_IDC_687
计算机: IDC-366
描述:
成功的网络登录:
用户名: IUSR_IDC_687
域: IDC-366
登录 ID: (0x0,0x57CBDF)
登录类型: 8
登录过程: Advapi
身份验证数据包: Negotiate
工作站名: IDC-366
登录 GUID: -
调用方用户名: NETWORK SERVICE
调用方域: NT AUTHORITY
调用方登录 ID: (0x0,0x3E4)
调用方进程 ID: 3096
传递服务: -
源网络地址: -
源端口: -
有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
======
事件类型: 审核成功
事件来源: Security
事件种类: 登录/注销
事件 ID: 538
日期: 2011-1-7
事件: 11:55:29
用户: IDC-366\IUSR_IDC_687
计算机: IDC-366
描述:
用户注销:
用户名: IUSR_IDC_687
域: IDC-366
登录 ID: (0x0,0x57CBDF)
登录类型: 8
有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
我查了下网上应该是被入侵了,但是我不知道该如何检测,如果删除
------解决方案--------------------检查下用户IUSR_IDC_687的权限,如果有administrators 权限,基本确定被黑了。
------解决方案--------------------运行什么服务了吧?
------解决方案--------------------可能是有人正在试图黑你的电脑。。。推荐关闭guest账户,然后用户密码设置好点。