我继承了一台 win 2012 服务器,安全日志里全是事件4648来自用户更新程序。
我发现还有一个乌达勒用户并且他们拥有许多正在运行的进程。
他们的描述是:Microsoft Windows 更新服务,因此他们似乎是默认用户,但我找不到有关他们的任何信息。事件中报告的目标服务器4648具有 DNS 无法解析的奇特名称。这是正确的吗?我想了解发生了什么,因为这些事件很快就会填满安全日志,我想避免这种情况。
更新
这是 4648 个事件之一,不幸的是它不是英文的:
È stato tentato un accesso utilizzando credenziali esplicite.
Soggetto:
ID sicurezza: UTENTE-E4COHOO4\updater
Nome account: updater
Dominio account: UTENTE-E4COHOO4
ID accesso: 0xF2ECCFC
GUID accesso: {00000000-0000-0000-0000-000000000000}
Account di cui sono state utilizzate le credenziali:
Nome account: Administrator
Dominio account: UTENTE-E4COHOO4
GUID accesso: {00000000-0000-0000-0000-000000000000}
Server di destinazione:
Nome server di destinazione: RC-REMOTE.rc.local
Informazioni aggiuntive: RC-REMOTE.rc.local
Informazioni sul processo:
ID processo: 0x13c8
Nome processo: C:\Windows\victoria\svchost.exe
Informazioni di rete:
Indirizzo di rete: -
Porta: -
我发现了一个神秘的“C:\windows\victoria”文件夹并根据这次讨论(搜索维多利亚)它是一种恶意软件。
你确认吗更新程序和乌达勒Win 2012 上没有默认帐户吗?
答案1
您的服务器上肯定存在某种病毒/恶意软件。扫描整个网络以查找病毒,并重新安装服务器或从已知良好的备份中恢复。