未分類
5 1 月 2021

系统被入侵了,!!!

apdc 大佬有话说 :

系统被入侵了,!!!

晚上没关机!!!
电脑是有密码的灰常复杂!!!!!

早上起来远程登录,提示有其他账号登录,,,

发现用一个 用户名为 a 的管理员账号,用户文件的创建时间为半夜!!!

日志-有大量 ID为4625 登录 审核失败-的日志文件,

https://mjjzp.cf/img/2021/01/05/e278c85900ab7.png

这是刚刚截图的,我已经把 a 账号删除了,所以一直提示失败,

电脑装的有火绒,也有4399的监控,没有记录,不是通过4399入侵的。

也没安装过其他的软件,唯一的一个就是有个自己在网上下载的E语言5.9编译生成的程序,但是也没运行,不知道啥情况,。。。

懵逼!!

蓝洛水深 大佬有话说 :

4399是什么,小游戏防护吗

chqyhsl 大佬有话说 :

sql弱口令

小蓝姐姐 大佬有话说 :

可能是系统的原因,我昨天也遇到过,装好win2008 R2 打了很多补丁,里面就装了一个Chrome,昨天就发现被入侵了。多了一个超级管理员!

guowang 大佬有话说 :

是服务器win系统吗? 火绒 这么管用?

apdc 大佬有话说 :

不是4399.。。。是3389.。混乱了。。!!!

只跑了一个 nginx + 默认页面,

唐王李世民 大佬有话说 :

没打补丁?

yxmss 大佬有话说 :

4399监控是什么

apdc 大佬有话说 :

抓包也没外网的连接!!!!无语

apdc 大佬有话说 :

日志名称:          Security
来源:            Microsoft-Windows-Security-Auditing
日期:            2021/1/5 14:19:02
事件 ID:         4625
任务类别:          登录
级别:            信息
关键字:         审核失败
用户:            暂缺
计算机:         WINDOWS-SLFPQHB
描述:
帐户登录失败。

主题:
        安全 ID:                NULL SID
        帐户名:                –
        帐户域:                –
        登录 ID:                0x0

登录类型:                        3

登录失败的帐户:
        安全 ID:                NULL SID
        帐户名:                ADMINISTRATOR
        帐户域:               

失败信息:
        失败原因:                未知用户名或密码错误。
        状态:                        0xc000006d
        子状态:                0xc0000064

进程信息:
        调用方进程 ID:        0x0
        调用方进程名:        –

网络信息:
        工作站名:       
        源网络地址:        –
        源端口:                –

详细身份验证信息:
        登录进程:                NtLmSsp
        身份验证数据包:        NTLM
        传递服务:        –
        数据包名(仅限 NTLM):        –
        密钥长度:                0

登录请求失败时在尝试访问的计算机上生成此事件。

“主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

“登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。

“进程信息”字段表明系统上的哪个帐户和进程请求了登录。

“网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。

“身份验证信息”字段提供关于此特定登录请求的详细信息。
        -“传递服务”指明哪些直接服务参与了此登录请求。
        -“数据包名”指明在 NTLM 协议之间使用了哪些子协议。
        -“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0。
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
    <EventID>4625</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8010000000000000</Keywords>
    <TimeCreated SystemTime="2021-01-05T06:19:02.929875500Z" />
    <EventRecordID>95953</EventRecordID>
    <Correlation />
    <Execution ProcessID="748" ThreadID="784" />
    <Channel>Security</Channel>
    <Computer>WINDOWS-SLFPQHB</Computer>
    <Security />
</System>
<EventData>
    <Data Name="SubjectUserSid">S-1-0-0</Data>
    <Data Name="SubjectUserName">-</Data>
    <Data Name="SubjectDomainName">-</Data>
    <Data Name="SubjectLogonId">0x0</Data>
    <Data Name="TargetUserSid">S-1-0-0</Data>
    <Data Name="TargetUserName">ADMINISTRATOR</Data>
    <Data Name="TargetDomainName">
    </Data>
    <Data Name="Status">0xc000006d</Data>
    <Data Name="FailureReason">%%2313</Data>
    <Data Name="SubStatus">0xc0000064</Data>
    <Data Name="LogonType">3</Data>
    <Data Name="LogonProcessName">NtLmSsp </Data>
    <Data Name="AuthenticationPackageName">NTLM</Data>
    <Data Name="WorkstationName">
    </Data>
    <Data Name="TransmittedServices">-</Data>
    <Data Name="LmPackageName">-</Data>
    <Data Name="KeyLength">0</Data>
    <Data Name="ProcessId">0x0</Data>
    <Data Name="ProcessName">-</Data>
    <Data Name="IpAddress">-</Data>
    <Data Name="IpPort">-</Data>
</EventData>
</Event>