求救:服务器被人入侵了!
今早发现自己的网站打不开了,登陆服务器后打开iis看了后发现网站都是关闭状态的,再打开事件查看器,发现在凌晨1点多被一个用户重启过。系统记录:
进程 winlogon.exe 已因下列原因为用户 NT AUTHORITY\SYSTEM 开始计算机 FASDFSDS-161FA9 的 重新启动: 没有找到这个原因的标题
原因代码: 0x80020002
关机类型: 重新启动
注释:
有关更多信息,请参阅在 [url]http://go.microsoft.com/fwlink/events.asp[/url] 的帮助和支持中心。
安全登录:
使用明确凭据的登录尝试:
登录的用户:
用户名: NETWORK SERVICE
域: NT AUTHORITY
登录 ID: (0x0,0x3E4)
登录 GUID: -
凭据被使用的用户:
目标用户名: IUSR_GEIS-161FA93DFD
目标域: FASDFSDS-161FA9
目标登录 GUID: -
目标服务器名称: localhost
目标服务器信息: localhost
调用方进程 ID: 2312
源网络地址: -
源端口: -
有关更多信息,请参阅在 [url]http://go.microsoft.com/fwlink/events.asp[/url] 的帮助和支持
但是在计算机管理的用户管理里找不到非法用户名,不知他是用什么方式登录我的服务器啊? 先改一下密码吧. 看这个用户 IUSR_GEIS-161FA93DFD
是默认的iis进程用户啊,这是不是说是用网页木马操控服务器的? 我们昨天一租机用户的服务器也出现被挂马的情况
而且服务器上本机居然不能访问任何外网站点 说明权限没有设置好,被提权了 好象不是,远程登陆的话会显示IP的 应该是网站程序有问题,被人利用了。
大的网站必须不能贪图便宜乱用网上的模块。有些模块有安全隐患的。 重新装系统安全点
回复 8楼 spidergood 的帖子
开玩笑吧.不能动不动就重装呀? 等到高高手来解决 等到高高手来解决 要是我我就:ohh: 设置安全 让机房装天网拦截反弹木马 全盘杀毒我的服务商高所我 “还原系统”
卵大的事都叫我还原系统 讨厌:cool: 很可能是网页木马所致,现已经把cmd.exe设置成只有admin跟system两个用户组可以使用了。
再在服务器上装一个小红伞查杀一下木马看看。
对了,请教一下大家:
我查看服务器上的事件查看器里的“系统”里。每次12.00时总会有这个:系统启动时间为 14130 秒。
请教大家有没有这个现象啊? 看下自动更新设置吧, 不是自动更新你做了时间设置了,
页:
[1]