希望您能帮忙。我们注意到另一个用户的本地计算机在我们计算机的事件查看器中创建了登录条目。
收到的消息是“帐户已成功登录”。
登录尝试的详细信息如下(匿名):
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
New Logon:
Security ID: OURDOMAN\SUSPICIOUSID$
Account Name: SUSPICIOUSID$
Account Domain: OURDOMAIN
Logon ID: 0x8276c3c
Logon GUID: {ef03e93f-a27b-c304-92ce-3b244723ccc4}
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name:
Source Network Address: IPAddress1
Source Port: 55666
我尝试使用批处理脚本和 psfile 来检测这个问题,但在登录事件发生时它没有检测到任何异常。当我们测试它时,如果其他人以管理员身份远程登录,它就会检测到。
BAtch 文件脚本:
:Start
@echo off
setlocal enabledelayedexpansion
set theValue=x
cd c:/pstools
for /f "delims=" %%a in ('psfile.exe \\MyMachine') do @set theValue=!theValue! %%a
IF not "%theValue%"=="x No files opened remotely on MyMachine." ( echo %theValue%>>c:/psfileoutput/psfileoutput.txt ) else ( echo "no values" )
timeout 0
转到开始
我原本以为登录成功会导致某种文件访问。
有人知道这个登录信息是什么吗?
谢谢
更新:
更新:我的批处理脚本终于成功了:
x Files opened remotely on MyMachine: [183] \srvsvc User: SuspiciousID$ Locks: 0 Access: Read Write
答案1
身份验证和授权是两个不同的概念。身份验证基本上是验证登录凭据,而授权是检查用户有权获得哪种访问权限。
\srvsvc
不是一个文件,它是一个所谓的“命名管道”,主要用作枚举文件服务器提供的共享的机制 - 这是在 Windows 资源管理器中调用文件服务器时所做的操作(即在\\server
地址栏中输入)或根据请求net view \\server
。作为您的机器帐户可疑ID$是已认证用户内置组,默认情况下它有权使用\srvsvc
来列出所有域成员上的共享。这并不意味着它可以访问任何列出的共享或其中的文件。
答案2
登录成功并不保证可以访问文件,与 admin$ 的简单连接将显示为登录事件,但不会对文件级别进行任何更改。
很难说清楚你这里的问题是什么,快速谷歌一下列出的端口,会发现很多网站列出了一个名为 Latinus 的木马,据发现该木马最近一直在使用这个端口。我个人会检查其他机器是否感染病毒。
http://www.speedguide.net/port.php?port=55666
如果您有权访问另一台机器,请在查看自己机器上的事件的同时查看应用程序或安全事件日志。您可能会看到有关哪个进程正在尝试连接的更多信息。