服务器大量的4624日志

暖意春香 · 发表于 2020-7-7 11:00

服务器大量的4624日志，那个账号没人登陆过但是一直有人登陆，是否已经被入侵，改了密码依旧很多4624审核成功的日志事件

cutthesoul · 发表于 2020-7-7 11:06

发点详细的日志把，你就发这个图片相当于你说自己身体难受，就只发了一张自拍一样

暖意春香 · 发表于 2020-7-7 11:49

日志名称:       Security
来源:          Microsoft-Windows-Security-Auditing
日期:          2020/7/7 11:26:54
事件 ID:       4624
任务类别:       登录
级别:          信息
关键字:          审核成功
用户:          暂缺
计算机:          ecs-3704
描述:
已成功登录帐户。

主题:
安全 ID: SYSTEM
帐户名: ECS-3704$
帐户域: WORKGROUP
登录 ID: 0x3e7

登录类型: 4

新登录:
安全 ID: ECS-3704\dfs_user
帐户名: dfs_user
帐户域: ECS-3704
登录 ID: 0xa09b1f0
登录 GUID: {00000000-0000-0000-0000-000000000000}

进程信息:
进程 ID: 0x260
进程名: C:\Windows\System32\svchost.exe

网络信息:
工作站名: ECS-3704
源网络地址: -
源端口: -

详细身份验证信息:
登录进程: Advapi
身份验证数据包: Negotiate
传递服务: -
数据包名(仅限 NTLM): -
密钥长度: 0

在创建登录会话后在被访问的计算机上生成此事件。

“主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

“登录类型”字段指明发生的登录种类。最常见的类型是 2 (交互式)和 3 (网络)。

“新登录”字段会指明新登录是为哪个帐户创建的，即登录的帐户。

“网络”字段指明远程登录请求来自哪里。“工作站名”并非总是可用，而且在某些情况下可能会留为空白。

“身份验证信息”字段提供关于此特定登录请求的详细信息。
-“登录 GUID”是可以用于将此事件与一个 KDC 事件关联起来的唯一标识符。
-“传递服务”指明哪些直接服务参与了此登录请求。
- “数据包名”指明在 NTLM 协议之间使用了哪些子协议。
-“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥则此字段为 0。
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4624</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2020-07-07T03:26:54.724609300Z" />
<EventRecordID>245089594</EventRecordID>
<Correlation />
<Execution ProcessID="500" ThreadID="1276" />
<Channel>Security</Channel>
<Computer>ecs-3704</Computer>
<Security />
  </System>
  <EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">ECS-3704$</Data>
<Data Name="SubjectDomainName">WORKGROUP</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="TargetUserSid">S-1-5-21-3628023701-1352685745-810702513-1003</Data>
<Data Name="TargetUserName">dfs_user</Data>
<Data Name="TargetDomainName">ECS-3704</Data>
<Data Name="TargetLogonId">0xa09b1f0</Data>
<Data Name="LogonType">4</Data>
<Data Name="LogonProcessName">Advapi  </Data>
<Data Name="AuthenticationPackageName">Negotiate</Data>
<Data Name="WorkstationName">ECS-3704</Data>
<Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x260</Data>
<Data Name="ProcessName">C:\Windows\System32\svchost.exe</Data>
<Data Name="IpAddress">-</Data>
<Data Name="IpPort">-</Data>
  </EventData>
</Event>

海是倒过来的天 · 发表于 2020-7-7 11:27

n你这个日志看不出东西啊

绝版王子丶亲 · 发表于 2020-7-7 11:44

我觉得楼主看日记是看不出什么问题来的~先断网查杀，看看管理用户这里看看有没有无用的用户，删除，服务器进行一次彻底杀毒，不要用360杀毒，太渣了

我就试试 · 发表于 2020-7-7 11:44

你是不是装了什么软件? 看你这个账户好像是软件自动设置的

以前有这样的日志么?

Rx0 · 发表于 2020-7-7 11:46

我也遇到这种问题，还全部审核成功，好像是新版Win10都有这个问题。大约是从19041开始发现这个问题。20150也存在

暖意春香 · 发表于 2020-7-7 11:48

日志名称:       Security
来源:          Microsoft-Windows-Security-Auditing
日期:          2020/7/7 11:32:10
事件 ID:       4624
任务类别:       登录
级别:          信息
关键字:          审核成功
用户:          暂缺
计算机:          ecs-3704
描述:
已成功登录帐户。

主题:
安全 ID: SYSTEM
帐户名: ECS-3704$
帐户域: WORKGROUP
登录 ID: 0x3e7

登录类型: 4

新登录:
安全 ID: ECS-3704\dfs_user
帐户名: dfs_user
帐户域: ECS-3704
登录 ID: 0xa0b2ab3
登录 GUID: {00000000-0000-0000-0000-000000000000}

进程信息:
进程 ID: 0x260
进程名: C:\Windows\System32\svchost.exe

网络信息:
工作站名: ECS-3704
源网络地址: -
源端口: -

详细身份验证信息:
登录进程: Advapi
身份验证数据包: Negotiate
传递服务: -
数据包名(仅限 NTLM): -
密钥长度: 0

在创建登录会话后在被访问的计算机上生成此事件。

“主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

“登录类型”字段指明发生的登录种类。最常见的类型是 2 (交互式)和 3 (网络)。

“新登录”字段会指明新登录是为哪个帐户创建的，即登录的帐户。

“网络”字段指明远程登录请求来自哪里。“工作站名”并非总是可用，而且在某些情况下可能会留为空白。

“身份验证信息”字段提供关于此特定登录请求的详细信息。
-“登录 GUID”是可以用于将此事件与一个 KDC 事件关联起来的唯一标识符。
-“传递服务”指明哪些直接服务参与了此登录请求。
- “数据包名”指明在 NTLM 协议之间使用了哪些子协议。
-“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥则此字段为 0。
事件 Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4624</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2020-07-07T03:32:10.458984300Z" />
<EventRecordID>245089640</EventRecordID>
<Correlation />
<Execution ProcessID="500" ThreadID="1276" />
<Channel>Security</Channel>
<Computer>ecs-3704</Computer>
<Security />
  </System>
  <EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">ECS-3704$</Data>
<Data Name="SubjectDomainName">WORKGROUP</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="TargetUserSid">S-1-5-21-3628023701-1352685745-810702513-1003</Data>
<Data Name="TargetUserName">dfs_user</Data>
<Data Name="TargetDomainName">ECS-3704</Data>
<Data Name="TargetLogonId">0xa0b2ab3</Data>
<Data Name="LogonType">4</Data>
<Data Name="LogonProcessName">Advapi  </Data>
<Data Name="AuthenticationPackageName">Negotiate</Data>
<Data Name="WorkstationName">ECS-3704</Data>
<Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x260</Data>
<Data Name="ProcessName">C:\Windows\System32\svchost.exe</Data>
<Data Name="IpAddress">-</Data>
<Data Name="IpPort">-</Data>
  </EventData>
</Event>

87901434 · 发表于 2020-7-7 11:48

建议去看看闲时的登录频率，
白天估计作为服务器来说经验不足看不出什么，但是闲时日志多，肯定有问题

q429264446 · 发表于 2020-7-7 11:51

提示: 作者被禁止或删除内容自动屏蔽

帐号		自动登录	找回密码
密码			注册[Register]

q429264446 q429264446 当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽	q429264446 发表于 2020-7-7 11:51 提示: 作者被禁止或删除内容自动屏蔽

	回复支持举报