服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 我每天看到的奇怪的login失败是什么?
Intereting Posts
跟踪哪里的Apache正在从一个页面 Server 2008 GPO使用小的任务栏图标 将NS服务器从Godaddy移动到Route53后,站点无法访问 帮助build立NGINX Nginx,authentication和强制HTTPS – 作为包含片段? Powershell脚本在以特定方式执行时以无限循环运行 服务器拒绝在Windows上分配pty,Globalscape Secure FTP服务器 lockingPostgreSQL用户进行维护 Cassandra:什么时候增加容量? 如果getfacl不断运行,使用大于90%的可用磁盘I / O是否正常? 包括可用于多个站点的PHP文件 在Linux机器上以root身份禁用ssh以及编写脚本的挑战 Shell后台进程:终止消息中的字符是什么意思? ESXi 6.5 – input抓取不起作用 如何使Squid日志url和转发stream量没有代理?

我每天看到的奇怪的login失败是什么?

我在Windows Server 2008 R2服务器上发生了一些奇怪的事情。
正好每天晚上9点,在事件查看器中注册审计失败,说明一个帐户由于“未知的用户名或错误的密码”而无法login。 奇怪的部分是帐户名称是一个161个字符的string,以@@开头,其余的是一个看似随机的string。 这个名字每天都是一样的。 这似乎是来自服务器本地。 logintypes是4,调用者进程是svchost,并且在详细authentication信息下,login进程是Advapi,并且authentication包是协商的。 任何想法可能来自哪里? 我还没有提供任何其他相关信息?

事实certificate,这是备份计划任务无法启动。 显然,在某些时候,组策略设置“networking访问:不允许存储凭证或.NET Passport进行networking身份validation”已启用。 这不允许存储用于计划任务的凭证,如错误消息中所示:

一会儿Google的快速search,原因就显露出来了。 我能够在任务计划程序中指定凭据,明天早上我会看看问题是否解决。 仍然不知道在哪里“@@ CyBAAAAUBQYAMHArBwUAMGAoBQZAQGA1BAbAUGAyBgOAQFAhBwcAsGA6AweAkDA0AAOAEEA5AQQAIEABBQLAEDABBAOAEDAtAANAEEAFBwQA0CA4AAMAEDAEBQLAMDABBAMAUDA1AgNAADABBwQAkDAyAAOA0HA”来自,但希望这不再重要。 感谢你的帮助!

我的第一个倾向是,这是由在用户的Active Directory帐户下运行的预定任务引起的,该帐户被禁用或删除,但看起来它可能是更邪恶的来源。

Advapi似乎是BKDR_NETDEVIL.12恶意软件包的一部分,因此您的服务器似乎可能被入侵 。