大量540 538 552 680事件是咋回事
日期:2014-05-17 浏览次数:21004 次
大量540 538 552 680事件是怎么回事
如题,刚装好的2003系统,挂在公网,已安装IIS,文件及打印机共享已关闭,目前上面没有挂任何网站,端口目前只开了FTP/远程桌面/360杀毒等几个有限的端口,但系统日志却记录了大量的登录注销记录,这些记录平均20-30分钟一次,日志如下:
用户注销:
用户名: IUSR_ADMINISTRATOR
域: ADMINISTRATOR
登录 ID: (0x0,0x1229340)
登录类型: 8
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户: IUSR_ADMINISTRATOR
源工作站: ADMINISTRATOR
错误代码: 0x0
使用明确凭据的登录尝试:
登录的用户:
用户名: NETWORK SERVICE
域: NT AUTHORITY
登录 ID: (0x0,0x3E4)
登录 GUID: -
凭据被使用的用户:
目标用户名: IUSR_ADMINISTRATOR
目标域: ADMINISTRATOR
目标登录 GUID: -
目标服务器名称: localhost
目标服务器信息: localhost
调用方进程 ID: 1008
源网络地址: -
源端口: -
成功的网络登录:
用户名: IUSR_ADMINISTRATOR
域: ADMINISTRATOR
登录 ID: (0x0,0x122D5E0)
登录类型: 8
登录过程: Advapi
身份验证数据包: Negotiate
工作站名: ADMINISTRATOR
登录 GUID: -
调用方用户名: NETWORK SERVICE
调用方域: NT AUTHORITY
调用方登录 ID: (0x0,0x3E4)
调用方进程 ID: 1008
传递服务: -
源网络地址: -
源端口: -
麻烦懂2003系统安全的帮我看一下,这些日志到底是系统自动产生的还是因为有人入侵产生的。
------解决方案--------------------
还是不要挂在公网上,公网上时刻都有人在不停的扫描
即使需要挂在外网,也需要先开防火墙的
如题,刚装好的2003系统,挂在公网,已安装IIS,文件及打印机共享已关闭,目前上面没有挂任何网站,端口目前只开了FTP/远程桌面/360杀毒等几个有限的端口,但系统日志却记录了大量的登录注销记录,这些记录平均20-30分钟一次,日志如下:
用户注销:
用户名: IUSR_ADMINISTRATOR
域: ADMINISTRATOR
登录 ID: (0x0,0x1229340)
登录类型: 8
尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户: IUSR_ADMINISTRATOR
源工作站: ADMINISTRATOR
错误代码: 0x0
使用明确凭据的登录尝试:
登录的用户:
用户名: NETWORK SERVICE
域: NT AUTHORITY
登录 ID: (0x0,0x3E4)
登录 GUID: -
凭据被使用的用户:
目标用户名: IUSR_ADMINISTRATOR
目标域: ADMINISTRATOR
目标登录 GUID: -
目标服务器名称: localhost
目标服务器信息: localhost
调用方进程 ID: 1008
源网络地址: -
源端口: -
成功的网络登录:
用户名: IUSR_ADMINISTRATOR
域: ADMINISTRATOR
登录 ID: (0x0,0x122D5E0)
登录类型: 8
登录过程: Advapi
身份验证数据包: Negotiate
工作站名: ADMINISTRATOR
登录 GUID: -
调用方用户名: NETWORK SERVICE
调用方域: NT AUTHORITY
调用方登录 ID: (0x0,0x3E4)
调用方进程 ID: 1008
传递服务: -
源网络地址: -
源端口: -
麻烦懂2003系统安全的帮我看一下,这些日志到底是系统自动产生的还是因为有人入侵产生的。
------解决方案--------------------
还是不要挂在公网上,公网上时刻都有人在不停的扫描
即使需要挂在外网,也需要先开防火墙的
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
