admin 服务器被黑,安全日志看 ANONYMOUS LOGON 登陆,防火墙看到对方在连接我的 3389,我服务器桌面的所有文件对方都能浏览吗?
Event Type: Success Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 540
Date:
Time: 18:17:52
User: NT AUTHORITY\ANONYMOUS LOGON
Computer: XXXXXX
Description:
Successful Network Logon:
User Name:
Domain:
Logon ID: ( )
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name:
Logon GUID: -
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: -
Source Port: -
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp. ----------------------- 以下是精选回复-----------------------
答:通常来说win服务器可以登录3389基本上是拿到管理员权限。所有文件对对方都是可见的。
然而,NT AUTHORITY\ANONYMOUS LOGON
并不是登陆3389日志。
答:首先停用所有可疑账户,自用管理员权限账户更改密码,然后排查对方渗透方式,做好善后。
答:首先,进程、服务、启动项过一遍
然后用工具看下有没有隐藏账户
最后再登陆3389时候试试5下shift和win+u有没有被留后门,改掉3389端口。
远程桌面暴力破解难度大,而且会留下一大堆日志文件。
通常来说,都是系统其它程序漏洞、配置不正确导致被入侵。
比如php之类web程序被拿到webshell,相关目录有执行权限利用本地溢出拿到系统权限。
再比如web程序有SQL注入漏洞,mssql以系统管理员权限运行直接执行cmd命令拿到系统权限。
程序、系统没有及时更新补丁被远程溢出等。
远程无法插光盘问题可通过虚拟光驱解决。
1.本地挂载光盘远程桌面带到服务器
2.vps下载光盘,虚拟光盘加载
DABAN RP主题是一个优秀的主题,极致后台体验,无插件,集成会员系统
网站模板库 » 服务器被黑,安全日志看 ANONYMOUS LOGON 登陆,防火墙看到对方在连接我的 3389,我服务器桌面的所有文件对方都能浏览吗?
网站模板库 » 服务器被黑,安全日志看 ANONYMOUS LOGON 登陆,防火墙看到对方在连接我的 3389,我服务器桌面的所有文件对方都能浏览吗?
0条评论