服务器事件:审核失败,ID560,如何解决?
答案:2 悬赏:40 手机版
解决时间 2021-04-10 12:48
- 提问者网友:浪荡绅士
- 2021-04-10 01:35
打开的对象: 对象服务器: SC Manager 对象类型: SC_MANAGER OBJECT 对象名称: ServicesActive 句柄ID: - 操作ID: {0,35342922} 进程ID: 432 图像文件名: C:\WINDOWS\system32\services.exe 主要用户名: SXIDC-28E493C6F$ 主要域: WORKGROUP 主要登录 ID: (0x0,0x3E7) 客户端用户名: NETWORK SERVICE 客户端域: NT AUTHORITY 客户端登录 ID: (0x0,0x3E4) 访问次数: (0x0,0x3E4) 特权: DELETE READ_CONTROL WRITE_DAC WRITE_OWNER 连接到服务控制器 创建新的服务 枚举服务 锁定服务数据库,防止他人访问 查询服务数据库锁定状态 设置服务数据库的最后所知的好的状态 受限Sid 计数: - 访问掩码: 0 有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持 ------------------------------------------------- WEB服务器,有MSSQL数据库最近日志一大堆。 服务器事件:审核失败,ID560,如何解决? 是有人在穷举密码还是系统或者软件问题?求解决方法,加分感谢
最佳答案
- 五星知识达人网友:迟山
- 2021-04-10 02:32
解决方法: 经过本人长久以来观察发现每次出现这个事件,必定是某个网站被人传了木马,该事件是asp,asa木 马运行后留下的日志,由于服务器上网站很多,我们用uedit文本编辑器的批量查找功能查找木马运行后留 在日志文件里的特殊字符串就可以发现是哪个网站被上传了木马,木马是什么时候运行的,可以根据攻击 者ip查找攻击者所有操作记录;关于木马运行后留在日志文件里的特殊字符串,大家可以找个木马测试一 下,然后看web日志就知道了,我这里提供几个: Action=Show Action=*plgm* Action=Show1File Action=*Cmd* Action=*Shell* Action=ServerInfo Action=SrvInfo
全部回答
- 1楼网友:老鼠爱大米
- 2021-04-10 02:55
呵呵 有人在通过暴力破解你的密码! 不断在试!!
修改远程端口吧! 然后修改超管用户信息
我要举报
如以上问答信息为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
大家都在看
推荐资讯