|
 | 作者: visitor [visitor]
 论坛用户 |
登录 |
| 星期六日没有上班,但日志显示如下: 2003-5-18 20:12:39 Security 成功审核 对象访问 562 NT AUTHORITY\SYSTEM GUEST "关闭的句柄: 对象服务器: Security Account Manager 句柄 ID: 713648 过程 ID: 252 2003-5-18 20:12:39 Security 成功审核 帐户管理 642 NT AUTHORITY\SYSTEM GUEST "更改了用户帐户: - 目标帐户名称: guest2003 目标域: GUEST 目标帐户 ID: GUEST\guest2003 呼叫方用户名: GUEST$ 呼叫方所属域: WORKGROUP 呼叫方登录 ID: (0x0,0x3E7) 特权: - " 2003-5-18 20:12:39 Security 成功审核 对象访问 560 NT AUTHORITY\SYSTEM GUEST "打开的对象: 对象服务器: Security Account Manager 对象类型: SAM_USER 对象名称: DOMAINS\Account\Users\000001F4 新句柄 ID: 713336 操作 ID: {0,55591084} 过程 ID: 252 主要用户名: GUEST$ 主要域: WORKGROUP 主要登录 ID: (0x0,0x3E7) 客户端用户名: GUEST$ 客户端域: WORKGROUP 客户端登录 ID: (0x0,0x3E7) 访问 DELETE READ_CONTROL WRITE_DAC WRITE_OWNER ReadGeneralInformation ReadPreferences WritePreferences ReadLogon ReadAccount WriteAccount ChangePassword (已知旧密码) SetPassword (不知旧密码) ListGroups ReadGroupMembership ChangeGroupMembership 特权 - " 2003-5-18 20:12:39 Security 成功审核 帐户管理 643 NT AUTHORITY\SYSTEM GUEST "更改了域策略:密码策略 modified 域: GUEST 域 ID: GUEST\ 呼叫方用户名: GUEST$ 呼叫方所属域: WORKGROUP 呼叫方登录 ID: (0x0,0x3E7) 特权: - " 2003-5-18 20:12:39 Security 成功审核 对象访问 560 NT AUTHORITY\SYSTEM GUEST "打开的对象: 对象服务器: Security Account Manager 对象类型: SAM_DOMAIN 对象名称: GUEST 新句柄 ID: 651560 操作 ID: {0,55591072} 过程 ID: 252 主要用户名: GUEST$ 主要域: WORKGROUP 主要登录 ID: (0x0,0x3E7) 客户端用户名: GUEST$ 客户端域: WORKGROUP 客户端登录 ID: (0x0,0x3E7) 访问 DELETE READ_CONTROL WRITE_DAC WRITE_OWNER ReadPasswordParameters WritePasswordParameters ReadOtherParameters WriteOtherParameters CreateUser CreateLocalGroup GetLocalGroupMembership ListAccounts LookupIDs AdministerServer 特权 - " 2003-5-18 20:12:39 Security 成功审核 对象访问 560 NT AUTHORITY\SYSTEM GUEST "打开的对象: 对象服务器: Security Account Manager 对象类型: SAM_SERVER 对象名称: SAM 新句柄 ID: 713648 操作 ID: {0,55591069} 过程 ID: 252 主要用户名: GUEST$ 主要域: WORKGROUP 主要登录 ID: (0x0,0x3E7) 客户端用户名: GUEST$ 客户端域: WORKGROUP 客户端登录 ID: (0x0,0x3E7) 访问 DELETE READ_CONTROL WRITE_DAC WRITE_OWNER ConnectToServer ShutdownServer InitializeServer CreateDomain EnumerateDomains LookupDomain 特权 - " 2003-5-18 12:02:15 Security 成功审核 详细追踪 593 GUEST\guest2003 GUEST "已经退出某过程: 过程 ID: 2916 用户名: guest2003 域: GUEST 登录 ID: (0x0,0xA6ED) " 2003-5-18 12:00:03 Security 成功审核 详细追踪 592 GUEST\guest2003 GUEST "已经创建新的过程: 新的过程 ID: 2916 映象文件名: \Program Files\rising\rav\RavHDBak.exe 创建者过程 ID: 3356 用户名: guest2003 域: GUEST 登录 ID: (0x0,0xA6ED) " 2003-5-18 2:57:37 Security 成功审核 对象访问 562 NT AUTHORITY\SYSTEM GUEST "关闭的句柄: 对象服务器: Security Account Manager 句柄 ID: 713648 过程 ID: 252 " 2003-5-18 2:57:37 Security 成功审核 对象访问 562 NT AUTHORITY\SYSTEM GUEST "关闭的句柄: 对象服务器: Security Account Manager 句柄 ID: 651560 过程 ID: 252 " 2003-5-18 2:57:37 Security 成功审核 对象访问 562 NT AUTHORITY\SYSTEM GUEST "关闭的句柄: 对象服务器: Security Account Manager 句柄 ID: 713336 过程 ID: 252 " 2003-5-18 2:57:37 Security 成功审核 帐户管理 642 NT AUTHORITY\SYSTEM GUEST "更改了用户帐户: - 目标帐户名称: guest2003 目标域: GUEST 目标帐户 ID: GUEST\guest2003 呼叫方用户名: GUEST$ 呼叫方所属域: WORKGROUP 呼叫方登录 ID: (0x0,0x3E7) 特权: - " 2003-5-18 2:57:37 Security 成功审核 对象访问 560 NT AUTHORITY\SYSTEM GUEST "打开的对象: 对象服务器: Security Account Manager 对象类型: SAM_USER 对象名称: DOMAINS\Account\Users\000001F4 新句柄 ID: 713336 操作 ID: {0,39749881} 过程 ID: 252 主要用户名: GUEST$ 主要域: WORKGROUP 主要登录 ID: (0x0,0x3E7) 客户端用户名: GUEST$ 客户端域: WORKGROUP 客户端登录 ID: (0x0,0x3E7) 访问 DELETE READ_CONTROL WRITE_DAC WRITE_OWNER ReadGeneralInformation ReadPreferences WritePreferences ReadLogon ReadAccount WriteAccount ChangePassword (已知旧密码) SetPassword (不知旧密码) ListGroups ReadGroupMembership ChangeGroupMembership 特权 - " 2003-5-18 2:57:37 Security 成功审核 对象访问 560 NT AUTHORITY\SYSTEM GUEST "打开的对象: 对象服务器: Security Account Manager 对象类型: SAM_DOMAIN 对象名称: GUEST 新句柄 ID: 651560 操作 ID: {0,39749869} 过程 ID: 252 主要用户名: GUEST$ 主要域: WORKGROUP 主要登录 ID: (0x0,0x3E7) 客户端用户名: GUEST$ 客户端域: WORKGROUP 客户端登录 ID: (0x0,0x3E7) 访问 DELETE READ_CONTROL WRITE_DAC WRITE_OWNER ReadPasswordParameters WritePasswordParameters ReadOtherParameters WriteOtherParameters CreateUser CreateLocalGroup GetLocalGroupMembership ListAccounts LookupIDs AdministerServer 特权 - " 2003-5-18 2:57:37 Security 成功审核 帐户管理 643 NT AUTHORITY\SYSTEM GUEST "更改了域策略:密码策略 modified 域: GUEST 域 ID: GUEST\ 呼叫方用户名: GUEST$ 呼叫方所属域: WORKGROUP 呼叫方登录 ID: (0x0,0x3E7) 特权: - " 2003-5-18 2:57:37 Security 成功审核 对象访问 560 NT AUTHORITY\SYSTEM GUEST "打开的对象: 对象服务器: Security Account Manager 对象类型: SAM_SERVER 对象名称: SAM 新句柄 ID: 713648 操作 ID: {0,39749866} 过程 ID: 252 主要用户名: GUEST$ 主要域: WORKGROUP 主要登录 ID: (0x0,0x3E7) 客户端用户名: GUEST$ 客户端域: WORKGROUP 客户端登录 ID: (0x0,0x3E7) 访问 DELETE READ_CONTROL WRITE_DAC WRITE_OWNER ConnectToServer ShutdownServer InitializeServer CreateDomain EnumerateDomains LookupDomain 特权 - " 2003-5-17 12:02:15 Security 成功审核 详细追踪 593 GUEST\guest2003 GUEST "已经退出某过程: 过程 ID: 3168 用户名: guest2003 域: GUEST 登录 ID: (0x0,0xA6ED) " 2003-5-17 12:00:09 Security 成功审核 详细追踪 592 GUEST\guest2003 GUEST "已经创建新的过程: 新的过程 ID: 3168 映象文件名: \Program Files\rising\rav\RavHDBak.exe 创建者过程 ID: 3356 用户名: guest2003 域: GUEST 登录 ID: (0x0,0xA6ED) " " 2003-5-17 9:35:34 Security 成功审核 对象访问 562 NT AUTHORITY\SYSTEM GUEST "关闭的句柄: 对象服务器: Security Account Manager 句柄 ID: 713336 过程 ID: 252 " 2003-5-17 9:35:34 Security 成功审核 帐户管理 642 NT AUTHORITY\SYSTEM GUEST "更改了用户帐户: - 目标帐户名称: guest2003 目标域: GUEST 目标帐户 ID: GUEST\guest2003 呼叫方用户名: GUEST$ 呼叫方所属域: WORKGROUP 呼叫方登录 ID: (0x0,0x3E7) 特权: - " 2003-5-17 9:35:34 Security 成功审核 对象访问 560 NT AUTHORITY\SYSTEM GUEST "打开的对象: 对象服务器: Security Account Manager 对象类型: SAM_USER 对象名称: DOMAINS\Account\Users\000001F4 新句柄 ID: 713336 操作 ID: {0,23911350} 过程 ID: 252 主要用户名: GUEST$ 主要域: WORKGROUP 主要登录 ID: (0x0,0x3E7) 客户端用户名: GUEST$ 客户端域: WORKGROUP 客户端登录 ID: (0x0,0x3E7) 访问 DELETE READ_CONTROL WRITE_DAC WRITE_OWNER ReadGeneralInformation ReadPreferences WritePreferences ReadLogon ReadAccount WriteAccount ChangePassword (已知旧密码) SetPassword (不知旧密码) ListGroups ReadGroupMembership ChangeGroupMembership 特权 - " 2003-5-17 9:35:34 Security 成功审核 帐户管理 643 NT AUTHORITY\SYSTEM GUEST "更改了域策略:密码策略 modified 域: GUEST 域 ID: GUEST\ 呼叫方用户名: GUEST$ 呼叫方所属域: WORKGROUP 呼叫方登录 ID: (0x0,0x3E7) 特权: - " 2003-5-17 9:35:34 Security 成功审核 对象访问 560 NT AUTHORITY\SYSTEM GUEST "打开的对象: 对象服务器: Security Account Manager 对象类型: SAM_DOMAIN 对象名称: GUEST 新句柄 ID: 651560 操作 ID: {0,23911337} 过程 ID: 252 主要用户名: GUEST$ 主要域: WORKGROUP 主要登录 ID: (0x0,0x3E7) 客户端用户名: GUEST$ 客户端域: WORKGROUP 客户端登录 ID: (0x0,0x3E7) 访问 DELETE READ_CONTROL WRITE_DAC WRITE_OWNER ReadPasswordParameters WritePasswordParameters ReadOtherParameters WriteOtherParameters CreateUser CreateLocalGroup GetLocalGroupMembership ListAccounts LookupIDs AdministerServer 特权 - " 2003-5-17 9:35:34 Security 成功审核 对象访问 560 NT AUTHORITY\SYSTEM GUEST "打开的对象: 对象服务器: Security Account Manager 对象类型: SAM_SERVER 对象名称: SAM 新句柄 ID: 713648 操作 ID: {0,23911336} 过程 ID: 252 主要用户名: GUEST$ 主要域: WORKGROUP 主要登录 ID: (0x0,0x3E7) 客户端用户名: GUEST$ 客户端域: WORKGROUP 客户端登录 ID: (0x0,0x3E7) 访问 DELETE READ_CONTROL WRITE_DAC WRITE_OWNER ConnectToServer ShutdownServer InitializeServer CreateDomain EnumerateDomains LookupDomain 特权 - ================================= 谁有空帮我分析一下啊?谢谢啦。 |
| 地主 发表时间: 05/19 08:25 |
 | 回复: wwj [wwj]  论坛用户 |
登录 |
|
没什么啊 |
| B1层 发表时间: 05/19 15:42 |
 | 回复: BearKing [bking]  版主 |
登录 |
|
看你的用户组里有什么? |
| B2层 发表时间: 05/19 15:57 |
| 回复: visitor [visitor] 论坛用户 |
登录 |
|
to wwj: 没问题吗?但这些审核是在我没有在场的时候发生的啊。 to 老版: 用户组里看不到别的东西,就一个Administrator(guest被我停用了,还搞了个二十位的密码)。 |
| B3层 发表时间: 05/19 19:26 |
| 回复: BearKing [bking] 版主 |
登录 |
|
看你的guest密码对不?是否有被克隆过 |
| B4层 发表时间: 05/19 20:03 |
 | 回复: drckness [drckness]  论坛用户 |
登录 |
|
安全的做法是: 重新修你的GUEST密码 |
| B5层 发表时间: 05/19 23:03 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 菜鸟乐园 标题: 谁帮我分析一下日志啊,觉得不对劲啊。