黑色海岸线论坛 - Powered by Discuz! Board

标题: [求助]有人进入到我的服务器了，如何解决啊？？ [打印本页]

作者: 所谓伊人 时间: 2004-11-7 16:38 标题: [求助]有人进入到我的服务器了，如何解决啊？？

我在服务器win2000高级服务器系统的安全日志中，发现了一个陌生的登录名，而且他还使用了我的“特权服务”，同时他还登录了我一些子网了的机器。我该怎么办啊？请各位高人帮我提供一个解决方案，和使用工具。先谢谢了！（急！！！）

作者: 所谓伊人 时间: 2004-11-7 16:49 标题: [求助]有人进入到我的服务器了，如何解决啊？？

安全日志显示的用户名是：NT AUTHORITY\ANONYMOUS LOGON
在期间我使用了x-scan-v3.1进行扫描机器了，可不可能是扫描时留下的信息啊？

作者: 刺客 时间: 2004-11-7 17:02 标题: [求助]有人进入到我的服务器了，如何解决啊？？

大概只给个思路  不一定是这样子的
1.察看开放端口、运行服务  分析入侵者是通过那种手段进入
2.检查系统用户是否有异常（如禁止的GUEST开启了，新加了某个陌生用户而具有ADMIN权限
3.察看系统日志特别是应用程序事件
4.注册表启动项
5.一个扫描工具随便用X-SCAN也行  扫自己看看有什么漏洞

作者: 所谓伊人 时间: 2004-11-7 17:17 标题: [求助]有人进入到我的服务器了，如何解决啊？？

先谢谢楼上的兄弟了！1、具体怎么查看端口啊？（需要使用什么工具吗？）2、没有陌生的用户加到administrators组中；3、应用程序事件中，没用看到什么特别的程序运行，使用用户都为n/a；4、注册表表的启动项目中也没发现异常；5、我使用了x-scan进行扫描了，他提示我
domain (53/udp) 发现安全提示
netbios-ns (137/udp) 发现安全警告
这两个信息！

作者: 所谓伊人 时间: 2004-11-8 11:13 标题: [求助]有人进入到我的服务器了，如何解决啊？？

为什么没人理我啊？？？我又发现这个人登录上来了，信息如下：
用户注销:
用户名:ANONYMOUS LOGON
域:NT AUTHORITY
登录 ID:(0x0,0xF512B)
登录类型:3
指派给新登录的特殊权限:
用户名:
域:
登录 ID:(0x0,0xF512B)
已指派:SeChangeNotifyPrivilege
什么意思啊？快来帮帮我啊！！！

作者: 所谓伊人 时间: 2004-11-8 14:11 标题: [求助]有人进入到我的服务器了，如何解决啊？？

版主啊，帮我看看这是什么意思啊？

作者: 飞鸟设计 时间: 2004-11-8 16:29 标题: [求助]有人进入到我的服务器了，如何解决啊？？

顶上来,希望高手解决~

作者: 所谓伊人 时间: 2004-11-8 16:32 标题: [求助]有人进入到我的服务器了，如何解决啊？？

高手在那里啊？

作者: 所谓伊人 时间: 2004-11-8 18:33 标题: [求助]有人进入到我的服务器了，如何解决啊？？

为什么还没人来啊？

作者: 刺客 时间: 2004-11-8 19:02 标题: [求助]有人进入到我的服务器了，如何解决啊？？

看端口　　在ＣＭＤ下　　netstat　-an 察看所有开放端口（论坛有一个这个命令的贴　很老了　自己找外加一个程序　Fport
官方地址：http://www.foundstone.com/knowledge/zips/fport.zip
启动项　没有异常　不一定没有木马
高明的木马早就不在ＲＵＮ现身了　　
建议下载　木马扫描程序（木马克星之类的
把ＲＵＮＤＬＬ３２给结束掉　防止一些ＤＬＬ木马

作者: 所谓伊人 时间: 2004-11-8 19:12 标题: [求助]有人进入到我的服务器了，如何解决啊？？

谢谢楼上的兄弟！我下了一个 the cleaner的清除木马的软件了，不知道效果如何，同时也使用了3721的木马助手，进行扫描了，不过没发现任何木马程序啊！可为什么我的日志中会出现上述信息啊，他表示什么意思啊？

作者: 刺客 时间: 2004-11-8 20:59 标题: [求助]有人进入到我的服务器了，如何解决啊？？

不清楚~
可以在组册略里做点小技巧
GPEDIT。MSC----计算机配置-WINDOWS设置--本地策略-用户权限指派
N多设置可根据情况设置
最主要的是“拒绝从网络访问这台计算机”一定要设置

作者: copyday 时间: 2004-11-8 22:46 标题: [求助]有人进入到我的服务器了，如何解决啊？？

'最主要的是“拒绝从网络访问这台计算机”一定要设置'
这样的话，是不是 FTP 和WEB 就不能正常访问了？

作者: 所谓伊人 时间: 2004-11-9 09:18 标题: [求助]有人进入到我的服务器了，如何解决啊？？

这样设置会不会影响我子网的机器通过他上网啊？这台服务器就只是提供子网机器上网的功能，其他的都无所谓了。

作者: hnxyy 时间: 2004-11-9 09:26 标题: [求助]有人进入到我的服务器了，如何解决啊？？

顶起来

作者: 所谓伊人 时间: 2004-11-9 13:40 标题: [求助]有人进入到我的服务器了，如何解决啊？？

高手在那里啊？

作者: 黑色海岸线 时间: 2004-11-9 13:56 标题: [求助]有人进入到我的服务器了，如何解决啊？？

加我QQ
437129说吧
电话
02584716132-7007

作者: 所谓伊人 时间: 2004-11-9 16:07 标题: [求助]有人进入到我的服务器了，如何解决啊？？

老大，不是吧！我加了你留个qq，可那人说不知道怎么回事啊？不是您老人家留错号码了吧！！！快来帮帮我啊！

作者: 所谓伊人 时间: 2004-11-9 20:29 标题: [求助]有人进入到我的服务器了，如何解决啊？？

高手呢？高手呢？在那里啊啊？我的服务器现在在线升级杀毒软件都死机了，害得我现在正从新作系统呢！55555555

作者: zhangyw258 时间: 2004-11-10 08:26 标题: [求助]有人进入到我的服务器了，如何解决啊？？

我想你还是再加一个防火墙吧

作者: 所谓伊人 时间: 2004-11-10 10:56 标题: [求助]有人进入到我的服务器了，如何解决啊？？

不是不想加，问题在于我已经使用了硬件防火墙了，在安装软件防火墙的话，子网进行登录时经常会出现问题的！

欢迎光临黑色海岸线论坛 (http://bbs.thysea.com/)