请选择 进入手机版 | 继续访问电脑版

死性不改BBS - 网维行业自由、中立的技术与信息交流平台

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

搜索
热搜: 万能包 GHO
绝地求生(外服)公告 | 绝地求生(腾讯)公告英雄联盟-官网公告 | 官方论坛 | 服务器状态穿越火线-官网公告 | 官方论坛地下城与勇士-官网公告 | 官方论坛
查看: 837|回复: 9

[求助] WIN2008R2 安全日志出现大量帐号登录失败求助

[复制链接]

1

主题

10

帖子

0

精华

级别:小学

人气
0
精华
0
金币
37
经验
477
注册时间
2016-1-31
发表于 2019-6-8 11:41:18 | 显示全部楼层 |阅读模式

别装深沉了,赶快来凑凑热闹吧!

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
4625.jpg
用的ISO9000_WS2008r2_15Q4,每2分钟出现一条登录失败日志,大神们帮分析下什么原因!下面是日志内容:


帐户登录失败。

主题:
        安全 ID:                SYSTEM
        帐户名:                WIN-MIF3O9$
        帐户域:                WORKGROUP
        登录 ID:                0x3e7

登录类型:                        2

登录失败的帐户:
        安全 ID:                NULL SID
        帐户名:                Administrator
        帐户域:                WIN-MIF3O9

失败信息:
        失败原因:                未知用户名或密码错误。
        状态:                        0xc000006d
        子状态:                0xc000006a

进程信息:
        调用方进程 ID:        0x280
        调用方进程名:        C:\Windows\System32\winlogon.exe

网络信息:
        工作站名:        WIN-MI5DERV
        源网络地址:        127.0.0.1
        源端口:                0

详细身份验证信息:
        登录进程:                User32
        身份验证数据包:        Negotiate
        传递服务:        -
        数据包名(仅限 NTLM):        -
        密钥长度:                0

登录请求失败时在尝试访问的计算机上生成此事件。

“主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

“登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。

“进程信息”字段表明系统上的哪个帐户和进程请求了登录。

“网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。

“身份验证信息”字段提供关于此特定登录请求的详细信息。
        -“传递服务”指明哪些直接服务参与了此登录请求。
        -“数据包名”指明在 NTLM 协议之间使用了哪些子协议。
        -“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0。


点评

源网络地址: 127.0.0.1,键盘坏了吧  发表于 2019-6-13 13:24
如果你想回报坛友,最好的方法是为其加【人气】积分,为他人加人气积分不会扣除自己的积分,去做一个懂得回报的人吧!

[这是默认签名,更换签名点这里!]

32

主题

695

帖子

0

精华

级别:管理员

人气
49
精华
0
金币
1545
经验
4920
注册时间
2017-5-24

优秀会员宣传达人突出贡献优秀版主

QQ
发表于 2019-6-8 12:27:11 | 显示全部楼层
服务器可能中木马了,一直在对外爆破,包括服务器自己。
如果你想回报坛友,最好的方法是为其加【人气】积分,为他人加人气积分不会扣除自己的积分,去做一个懂得回报的人吧!

[这是默认签名,更换签名点这里!]

32

主题

695

帖子

0

精华

级别:管理员

人气
49
精华
0
金币
1545
经验
4920
注册时间
2017-5-24

优秀会员宣传达人突出贡献优秀版主

QQ
发表于 2019-6-8 12:28:33 | 显示全部楼层
使用tcpview看看本地3389端口是什么远程端口在连接,然后看这个远程端口对应的本地端口是哪个进程,它可能就是源头。
如果你想回报坛友,最好的方法是为其加【人气】积分,为他人加人气积分不会扣除自己的积分,去做一个懂得回报的人吧!

[这是默认签名,更换签名点这里!]

1

主题

10

帖子

0

精华

级别:小学

人气
0
精华
0
金币
37
经验
477
注册时间
2016-1-31
 楼主| 发表于 2019-6-8 13:02:53 | 显示全部楼层
维护大师技术A 发表于 2019-6-8 12:28
使用tcpview看看本地3389端口是什么远程端口在连接,然后看这个远程端口对应的本地端口是哪个进程,它可能 ...

关了3389,日志一样的有!  源网络地址:127.0.0.1

网络信息:
        工作站名:        WIN-MI5DERV
        源网络地址:        127.0.0.1
        源端口:                0
如果你想回报坛友,最好的方法是为其加【人气】积分,为他人加人气积分不会扣除自己的积分,去做一个懂得回报的人吧!

[这是默认签名,更换签名点这里!]

2

主题

85

帖子

0

精华

级别:高中

人气
0
精华
0
金币
22
经验
5268
注册时间
2015-12-21
发表于 2019-6-8 14:54:21 | 显示全部楼层
回车键压住了吧
如果你想回报坛友,最好的方法是为其加【人气】积分,为他人加人气积分不会扣除自己的积分,去做一个懂得回报的人吧!

[这是默认签名,更换签名点这里!]

19

主题

338

帖子

0

精华

级别:高中

人气
1
精华
0
金币
37
经验
4580
注册时间
2016-1-11
发表于 2019-6-8 15:29:36 | 显示全部楼层
不行格调重新来一遍,也就一两个小时的事
如果你想回报坛友,最好的方法是为其加【人气】积分,为他人加人气积分不会扣除自己的积分,去做一个懂得回报的人吧!

[这是默认签名,更换签名点这里!]

2

主题

686

帖子

0

精华

级别:初中

人气
1
精华
0
金币
1081
经验
2293
注册时间
2018-10-27
QQ
发表于 2019-6-8 21:17:29 | 显示全部楼层
你的服务器被盯上了
如果你想回报坛友,最好的方法是为其加【人气】积分,为他人加人气积分不会扣除自己的积分,去做一个懂得回报的人吧!

[这是默认签名,更换签名点这里!]

1

主题

10

帖子

0

精华

级别:小学

人气
0
精华
0
金币
37
经验
477
注册时间
2016-1-31
 楼主| 发表于 2019-6-9 10:07:42 | 显示全部楼层
小米 发表于 2019-6-8 14:54
回车键压住了吧

键没卡住,你这思路倒提醒了我
如果你想回报坛友,最好的方法是为其加【人气】积分,为他人加人气积分不会扣除自己的积分,去做一个懂得回报的人吧!

[这是默认签名,更换签名点这里!]

1

主题

23

帖子

0

精华

级别:初中

人气
0
精华
0
金币
52
经验
2128
注册时间
2016-7-15
发表于 2019-6-9 22:28:30 | 显示全部楼层
我和你一样,每分钟都有,几个服务器都是这样,不知道什么原因,但也没有什么影响

事件ID也是4625
如果你想回报坛友,最好的方法是为其加【人气】积分,为他人加人气积分不会扣除自己的积分,去做一个懂得回报的人吧!

[这是默认签名,更换签名点这里!]
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|死性不改BBS - 网维行业自由、中立的技术与信息交流平台 ( 浙ICP备14029261号 )

浙公网安备 33010302001723号

GMT+8, 2019-6-24 23:35 , Processed in 0.057476 second(s), 20 queries , XCache On.

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表