希望你能帮忙。 我们已经注意到另一个用户的本地机器在我们的机器的事件查看器中创buildlogin条目。
收到的消息是“帐户已成功login”。
下面提供了login尝试的细节(匿名):
Subject: Security ID: NULL SID Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 New Logon: Security ID: OURDOMAN\SUSPICIOUSID$ Account Name: SUSPICIOUSID$ Account Domain: OURDOMAIN Logon ID: 0x8276c3c Logon GUID: {ef03e93f-a27b-c304-92ce-3b244723ccc4} Process Information: Process ID: 0x0 Process Name: - Network Information: Workstation Name: Source Network Address: IPAddress1 Source Port: 55666 我已经尝试使用批处理脚本和psfile来提取它,但是在login事件发生的时候没有收到任何东西。 如果有人在我们testing的时候将其作为pipe理员进行远程pipe理,它确实会起作用。
BAtch文件脚本:
:Start @echo off setlocal enabledelayedexpansion set theValue=x cd c:/pstools for /f "delims=" %%a in ('psfile.exe \\MyMachine') do @set theValue=!theValue! %%a IF not "%theValue%"=="x No files opened remotely on MyMachine." ( echo %theValue%>>c:/psfileoutput/psfileoutput.txt ) else ( echo "no values" ) timeout 0
转到开始
我会认为login成功会导致某种文件访问。
有没有人有什么这个login可能是什么想法?
谢谢
更新:
更新:最后碰到了我的批处理脚本:
x Files opened remotely on MyMachine: [183] \srvsvc User: SuspiciousID$ Locks: 0 Access: Read Write
authentication和授权是两个不同的概念。 第一个是基本validationlogin凭据,第二个是检查用户有权访问哪种访问。
\srvsvc不是一个文件,它是一个所谓的“命名pipe道”,主要用作枚举文件服务器提供的共享机制 – 这是在Windows资源pipe理器中调用文件服务器时正在执行的操作。您在地址栏中input\\server ),或者在net view \\server请求中input。 由于您的机器帐户SUSPICIOUSID $是AUTHENTICATED USERS内build组的成员,因此默认情况下有权使用\srvsvc列出所有域成员上的共享。 这并不意味着它可以访问任何上市的股票或其中的文件。
login成功不保证文件访问,与admin $的简单连接将显示为login事件,但不会进行文件级别的更改。
很难说你的问题在这里,列出的端口的快速谷歌显示了一些网站上列出了一个名为拉丁美洲的木马,最近已经被视为使用这个端口。 我亲自检查其他机器的任何感染。
http://www.speedguide.net/port.php?port=55666
如果您有权访问其他计算机,请在您自己的计算机上看到事件的同时查看应用程序或安全事件日志。 您可能会看到更多关于尝试连接的进程的信息。