Chinaunix

标题: 【崩溃】寻找一个系统监视软件 [打印本页]

---

作者: vikingwo    时间: 2005-09-08 09:03
标题: 【崩溃】寻找一个系统监视软件
要求有记录：
什么时候  什么ip  通过什么途径  做了什么

我的系统被入侵了，杀毒软件都杀遍了还是没有杀出来，进程里面也没有可疑程序，注册表我也看过了，run里面没什么程序，系统安全设置按照网上说的做过设置了。 但是就是会被黑客登陆，而且创建了ad权限的用户。系统重装了也没用，还是会被入侵进来。

我装了blackice关闭了常用危险端口，装了md邮件系统，SQlserver。

恨啊 啊啊啊啊啊

大侠支招啊

---

作者: www_ftp    时间: 2005-09-08 09:08
标题: 【崩溃】寻找一个系统监视软件
装个瑞星2005试试，可以看看日志分析一下。

---

作者: goodloveboys    时间: 2005-09-08 09:11
标题: 【崩溃】寻找一个系统监视软件
瑞星就是个垃圾


日志里面就有这个记录，

楼主，补丁都打了吗？？  系统的，和sqlserver的

---

作者: vikingwo    时间: 2005-09-08 09:25
标题: 【崩溃】寻找一个系统监视软件
补丁全部打好了，2k的sp4和 sql的 sp4

我真的要崩溃了，我还是第一次碰到这样难对付的人。

你们不会明白我心里的恐惧，你删了他创建的ad帐户后，隔几天又会出现。。。。。


瑞星里面真的能记录这些事情嘛？？  那我立刻要去装了111

---

作者: outcrop    时间: 2005-09-08 14:15
标题: 【崩溃】寻找一个系统监视软件

原帖由 "vikingwo" 发表：
补丁全部打好了，2k的sp4和 sql的 sp4

我真的要崩溃了，我还是第一次碰到这样难对付的人。

你们不会明白我心里的恐惧，你删了他创建的ad帐户后，隔几天又会出现。。。。。


瑞星里面真的能记录这些事情嘛�.........

最近的MS05039补丁打了吗？
既然不停的创建管理员，入侵手段应该不是特别复杂。

---

作者: rainyuers    时间: 2005-09-09 01:18
标题: 【崩溃】寻找一个系统监视软件
嘿嘿~~~你滴安全级别太低了~嘎嘎~

---

作者: loulancn    时间: 2005-09-09 09:18
标题: 【崩溃】寻找一个系统监视软件
SQL只打补丁是不够的！

---

作者: 古    时间: 2005-09-09 11:22
标题: 【崩溃】寻找一个系统监视软件
站内短信给个地址看看，你可能忽视了某些地方

---

作者: vikingwo    时间: 2005-09-19 09:32
标题: 【崩溃】寻找一个系统监视软件
今天早上上班一看，又被入侵了。。 又创建了同一个用户名。 计算机管理里面的共享目录又帮我开出来了。 我明明都关闭共享了。
哭啊。。。。。。。。。。哪个大侠能帮我诊断一下啊。。。
我的msn: kelindun@citiz.net  QQ: 14335434
：（

---

作者: carrison    时间: 2005-09-19 09:50
标题: 【崩溃】寻找一个系统监视软件
audit啊, patch啊， firewall啊，log啊

---

作者: frosty    时间: 2005-09-19 10:19
标题: 【崩溃】寻找一个系统监视软件
楼主
看来入侵者的技术也不过如此
他为什么不隐藏管理员账号呢?

---

作者: ayazero    时间: 2005-09-19 11:02
标题: 【崩溃】寻找一个系统监视软件
其实装个后门根本不用账号

---

作者: carrison    时间: 2005-09-19 13:17
标题: 【崩溃】寻找一个系统监视软件
建议买个IPS，呵呵

---

作者: mmhh516    时间: 2005-09-19 13:34
标题: 【崩溃】寻找一个系统监视软件
具体的情况不清楚，如果是web网站的话，可能是注入。看看你的系统日志

---

作者: mator    时间: 2005-09-19 13:39
标题: 【崩溃】寻找一个系统监视软件
密罐才是王道

---

作者: vikingwo    时间: 2005-09-20 09:25
标题: 【崩溃】寻找一个系统监视软件
哪位高手如果有信心，能否帮我看一下。用pcanywhere 或者 VNC 登陆帮我查一查。
我的msn:  kelundun@citiz.net 谢谢了

---

作者: vikingwo    时间: 2005-09-20 13:34
标题: 【崩溃】寻找一个系统监视软件
我可能找出问题所在了！！！我从IIS的日志里面发现了一段东西。大家来看看。

005-09-19 22:00:24 82.61.35.144 - 210.52.xxx.xx 80 HEAD /defult.html - 200 -
2005-09-19 22:00:25 82.61.35.144 - 210.52.xxx.xx 80 HEAD /wwwroot/superlol.exe /c+dir+c:\ 404 -
2005-09-19 22:00:27 82.61.35.144 - 210.52.xxx.xx 80 HEAD /wwwroot/shell.exe /c+dir+c:\ 404 -
2005-09-19 22:00:31 82.61.35.144 - 210.52.xxx.xx 80 HEAD /wwwroot/root.exe /c+dir+c:\ 404 -
2005-09-19 22:00:32 82.61.35.144 - 210.52.xxx.xx 80 HEAD /wwwroot/cmd2.exe /c+dir+c:\ 404 -
2005-09-19 22:00:36 82.61.35.144 - 210.52.xxx.xx 80 HEAD /wwwroot/cmd1.exe /c+dir+c:\ 404 -
2005-09-19 22:01:29 82.61.35.144 - 210.52.xxx.xx 80 HEAD /www/update.exe /c+dir+c:\ 404 -
2005-09-19 22:01:31 82.61.35.144 - 210.52.xxx.xx 80 HEAD /www/test.exe /c+dir+c:\ 404 -
2005-09-19 22:01:32 82.61.35.144 - 210.52.xxx.xx 80 HEAD /www/sys.exe /c+dir+c:\ 404 -
2005-09-19 22:01:33 82.61.35.144 - 210.52.xxx.xx 80 HEAD /www/some.exe /c+dir+c:\ 404 -
2005-09-19 22:01:37 82.61.35.144 - 210.52.xxx.xx 80 HEAD /www/sky.exe /c+dir+c:\ 404 -
2005-09-19 22:01:39 82.61.35.144 - 210.52.xxx.xx 80 HEAD /www/sklp.exe /c+dir+c:\ 404 -
2005-09-19 22:01:43 82.61.35.144 - 210.52.xxx.xx 80 HEAD /www/serverdata.exe /c+dir+c:\ 404 -
2005-09-19 22:01:44 82.61.35.144 - 210.52.xxx.xx 80 HEAD /www/sensepost.exe /c+dir+c:\ 404 -
2005-09-19 22:01:54 82.61.35.144 - 210.52.xxx.xx 80 HEAD /www/mumu.exe /c+dir+c:\ 404 -
2005-09-19 22:01:56 82.61.35.144 - 210.52.xxx.xx 80 HEAD /www/mstart.exe /c+dir+c:\ 404 -
2005-09-19 22:01:57 82.61.35.144 - 210.52.xxx.xx 80 HEAD /www/monkey.exe /c+dir+c:\ 404 -
2005-09-19 22:01:58 82.61.35.144 - 210.52.xxx.xx 80 HEAD /www/lord.exe /c+dir+c:\ 404 -
2005-09-19 22:01:59 82.61.35.144 - 210.52.xxx.xx 80 HEAD /www/lmao.exe /c+dir+c:\ 404 -
2005-09-19 22:02:01 82.61.35.144 - 210.52.xxx.xx 80 HEAD /www/line.exe /c+dir+c:\ 404 -
2005-09-19 22:02:02 82.61.35.144 - 210.52.xxx.xx 80 HEAD /www/kickit.exe /c+dir+c:\ 404 -
2005-09-19 22:02:03 82.61.35.144 - 210.52.xxx.xx 80 HEAD /www/kasper.exe /c+dir+c:\ 404 -
2005-09-19 22:02:19 82.61.35.144 - 210.52.xxx.xx 80 HEAD /www/gogo.exe /c+dir+c:\ 404 -
2005-09-19 22:02:20 82.61.35.144 - 210.52.xxx.xx 80 HEAD /www/fun.exe /c+dir+c:\ 404 -
2005-09-19 22:02:21 82.61.35.144 - 210.52.xxx.xx 80 HEAD /www/ftp.exe /c+dir+c:\ 404 -
2005-09-19 22:02:22 82.61.35.144 - 210.52.xxx.xx 80 HEAD /www/fixtx.exe /c+dir+c:\ 404 -
2005-09-19 22:02:24 82.61.35.144 - 210.52.xxx.xx 80 HEAD /www/exchange.exe /c+dir+c:\ 404 -
2005-09-19 22:02:25 82.61.35.144 - 210.52.xxx.xx 80 HEAD /www/iis.exe /c+dir+c:\ 404 -
2005-09-19 22:02:28 82.61.35.144 - 210.52.xxx.xx 80 HEAD /www/er.exe /c+dir+c:\ 404 -
2005-09-19 22:02:32 82.61.35.144 - 210.52.xxx.xx 80 HEAD /www/edb.exe /c+dir+c:\ 404 -
2005-09-19 22:02:42 82.61.35.144 - 210.52.xxx.xx 80 HEAD /www/echo.exe /c+dir+c:\ 404 -
2005-09-19 22:03:07 82.61.35.144 - 210.52.xxx.xx 80 HEAD /www/dildo.exe /c+dir+c:\ 404 -
2005-09-19 22:03:09 82.61.35.144 - 210.52.xxx.xx 80 HEAD /www/darkside.exe /c+dir+c:\ 404 -
2005-09-19 22:03:34 82.61.35.144 - 210.52.xxx.xx 80 HEAD /www/boot.exe /c+dir+c:\ 404 -
2005-09-19 22:03:38 82.61.35.144 - 210.52.xxx.xx 80 HEAD /www/blackbeard.exe /c+dir+c:\ 404 -
2005-09-19 22:03:50 82.61.35.144 - 210.52.xxx.xx 80 HEAD /www/Serverdata.exe /c+dir+c:\ 404 -
2005-09-19 22:03:52 82.61.35.144 - 210.52.xxx.xx 80 HEAD /winnt\system32\cmd.exe+c:\ /c+dir+c:\ 404 -
2005-09-19 22:04:00 82.61.35.144 - 210.52.xxx.xx 80 HEAD /www/az.exe /c+dir+c:\ 404 -
2005-09-19 22:05:57 82.61.35.144 - 210.52.xxx.xx 80 HEAD /superlol.exe /c+dir+c:\ 404 -
2005-09-19 22:06:51 82.61.35.144 - 210.52.xxx.xx 80 HEAD /shell.exe /c+dir+c:\ 404 -
2005-09-19 22:06:55 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/war.exe /c+dir+c:\ 404 -
2005-09-19 22:06:56 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/update.exe /c+dir+c:\ 404 -
2005-09-19 22:06:57 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/tpn.exe /c+dir+c:\ 404 -
2005-09-19 22:07:10 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/sys.exe /c+dir+c:\ 404 -
2005-09-19 22:07:11 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/superlol.exe /c+dir+c:\ 404 -
2005-09-19 22:07:24 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/some.exe /c+dir+c:\ 404 -
2005-09-19 22:07:25 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/sky.exe /c+dir+c:\ 404 -
2005-09-19 22:07:26 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/sklp.exe /c+dir+c:\ 404 -
2005-09-19 22:07:28 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/shell.exe /c+dir+c:\ 404 -
2005-09-19 22:07:29 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/serverdata.exe /c+dir+c:\ 404 -
2005-09-19 22:07:43 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/test.exe /c+dir+c:\ 404 -
2005-09-19 22:07:51 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/sensepost.exe /c+dir+c:\ 404 -
2005-09-19 22:08:01 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/rundll.exe /c+dir+c:\ 404 -
2005-09-19 22:08:02 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/root.exe /c+dir+c:\ 404 -
2005-09-19 22:08:06 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/php.exe /c+dir+c:\ 404 -
2005-09-19 22:08:07 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/ncx.exe /c+dir+c:\ 404 -
2005-09-19 22:08:10 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/nc.exe+dir /c+dir+c:\ 403 -
2005-09-19 22:08:11 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/mumu.exe /c+dir+c:\ 404 -
2005-09-19 22:08:15 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/mstart.exe /c+dir+c:\ 404 -
2005-09-19 22:08:16 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/monkey.exe /c+dir+c:\ 404 -
2005-09-19 22:08:18 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/lsass.exe /c+dir+c:\ 404 -
2005-09-19 22:08:22 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/lord.exe /c+dir+c:\ 404 -
2005-09-19 22:08:23 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/lol.exe /c+dir+c:\ 404 -
2005-09-19 22:08:24 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/lmao.exe /c+dir+c:\ 404 -
2005-09-19 22:08:26 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/line.exe /c+dir+c:\ 404 -
2005-09-19 22:08:38 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/kasper.exe /c+dir+c:\ 404 -
2005-09-19 22:08:42 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/javac.exe /c+dir+c:\ 404 -
2005-09-19 22:08:44 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/java.exe /c+dir+c:\ 404 -
2005-09-19 22:08:45 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/img.exe /c+dir+c:\ 404 -
2005-09-19 22:08:46 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/iis.exe /c+dir+c:\ 404 -
2005-09-19 22:08:47 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/httpodbc.dll /c+dir+c:\ 500 -
2005-09-19 22:08:51 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/gogo.exe /c+dir+c:\ 404 -
2005-09-19 22:08:53 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/fun.exe /c+dir+c:\ 404 -
2005-09-19 22:08:57 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/ftp.exe /c+dir+c:\ 404 -
2005-09-19 22:09:07 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/fixtx.exe /c+dir+c:\ 404 -
2005-09-19 22:09:32 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/er.exe /c+dir+c:\ 404 -
2005-09-19 22:09:35 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/edb.exe /c+dir+c:\ 404 -
2005-09-19 22:09:36 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/echo.exe /c+dir+c:\ 404 -
2005-09-19 22:09:37 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/eXe.exe /c+dir+c:\ 404 -
2005-09-19 22:09:41 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/dildo.exe /c+dir+c:\ 404 -
2005-09-19 22:09:43 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/darkside.exe /c+dir+c:\ 404 -
2005-09-19 22:09:46 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/cmd1.exe /c+dir+c:\ 404 -
2005-09-19 22:09:48 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/cmd.exe /c+dir+c:\ 404 -
2005-09-19 22:10:00 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/kickit.exe /c+dir+c:\ 404 -
2005-09-19 22:10:08 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/bs.exe /c+dir+c:\ 404 -
2005-09-19 22:10:12 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/boot.exe /c+dir+c:\ 404 -
2005-09-19 22:10:16 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/blackbeard.exe /c+dir+c:\ 404 -
2005-09-19 22:10:17 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/az.exe /c+dir+c:\ 404 -
2005-09-19 22:10:18 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/_vti_inf/sad.exe /c+dir+c:\ 404 -
2005-09-19 22:10:20 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/Serverdata.exe /c+dir+c:\ 404 -
2005-09-19 22:13:22 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/..?9....exe /c+dir+c:\ 500 -
2005-09-19 22:16:01 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/..%5....exe /c+dir+c:\ 400 -
2005-09-19 22:16:06 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/..%5....cmd.exe /c+dir+c:\ 500 -
2005-09-19 22:16:35 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/..%5%6..../cmd.exe /c+dir+c:\ 500 -
2005-09-19 22:17:40 82.61.35.144 - 210.52.xxx.xx 80 HEAD /scripts/..%5..../cmd.exe /c+dir+c:\ 500 -
2005-09-19 22:19:25 82.61.35.144 - 210.52.xxx.xx 80 HEAD /samples/test.exe /c+dir+c:\ 404 -
2005-09-19 22:19:26 82.61.35.144 - 210.52.xxx.xx 80 HEAD /samples/sys.exe /c+dir+c:\ 404 -
2005-09-19 22:19:30 82.61.35.144 - 210.52.xxx.xx 80 HEAD /samples/superlol.exe /c+dir+c:\ 404 -
2005-09-19 22:19:34 82.61.35.144 - 210.52.xxx.xx 80 HEAD /samples/some.exe /c+dir+c:\ 404 -
2005-09-19 22:19:36 82.61.35.144 - 210.52.xxx.xx 80 HEAD /samples/sky.exe /c+dir+c:\ 404 -
2005-09-19 22:19:37 82.61.35.144 - 210.52.xxx.xx 80 HEAD /samples/sklp.exe /c+dir+c:\ 404 -
2005-09-19 22:19:38 82.61.35.144 - 210.52.xxx.xx 80 HEAD /samples/serverdata.exe /c+dir+c:\ 404 -
2005-09-19 22:19:57 82.61.35.144 - 210.52.xxx.xx 80 HEAD /samples/update.exe /c+dir+c:\ 404 -
2005-09-19 22:20:00 211.225.210.128 - 210.52.xxx.xx 80 POST /_vti_bin/_vti_aut/fp30reg.dll - 500 -
2005-09-19 22:20:06 82.61.35.144 - 210.52.xxx.xx 80 HEAD /samples/root.exe /c+dir+c:\ 404 -
2005-09-19 22:20:08 82.61.35.144 - 210.52.xxx.xx 80 HEAD /samples/mumu.exe /c+dir+c:\ 404 -
2005-09-19 22:20:18 82.61.35.144 - 210.52.xxx.xx 80 HEAD /samples/mstart.exe /c+dir+c:\ 404 -
2005-09-19 22:20:19 82.61.35.144 - 210.52.xxx.xx 80 HEAD /samples/monkey.exe /c+dir+c:\ 404 -
2005-09-19 22:20:24 82.61.35.144 - 210.52.xxx.xx 80 HEAD /samples/lmao.exe /c+dir+c:\ 404 -
2005-09-19 22:20:26 82.61.35.144 - 210.52.xxx.xx 80 HEAD /samples/line.exe /c+dir+c:\ 404 -
2005-09-19 22:20:30 82.61.35.144 - 210.52.xxx.xx 80 HEAD /samples/kickit.exe /c+dir+c:\ 404 -
2005-09-19 22:20:34 82.61.35.144 - 210.52.xxx.xx 80 HEAD /samples/kasper.exe /c+dir+c:\ 404 -
2005-09-19 22:20:44 82.61.35.144 - 210.52.xxx.xx 80 HEAD /samples/iis.exe /c+dir+c:\ 404 -
2005-09-19 22:20:47 82.61.35.144 - 210.52.xxx.xx 80 HEAD /samples/gogo.exe /c+dir+c:\ 404 -
2005-09-19 22:20:49 82.61.35.144 - 210.52.xxx.xx 80 HEAD /samples/fun.exe /c+dir+c:\ 404 -
2005-09-19 22:20:53 82.61.35.144 - 210.52.xxx.xx 80 HEAD /samples/ftp.exe /c+dir+c:\ 404 -
2005-09-19 22:20:57 82.61.35.144 - 210.52.xxx.xx 80 HEAD /samples/fixtx.exe /c+dir+c:\ 404 -
2005-09-19 22:21:08 82.61.35.144 - 210.52.xxx.xx 80 HEAD /samples/exchange.exe /c+dir+c:\ 404 -
2005-09-19 22:21:09 82.61.35.144 - 210.52.xxx.xx 80 HEAD /samples/er.exe /c+dir+c:\ 404 -
2005-09-19 22:21:10 82.61.35.144 - 210.52.xxx.xx 80 HEAD /samples/edb.exe /c+dir+c:\ 404 -
2005-09-19 22:21:20 82.61.35.144 - 210.52.xxx.xx 80 HEAD /samples/echo.exe /c+dir+c:\ 404 -
2005-09-19 22:21:22 82.61.35.144 - 210.52.xxx.xx 80 HEAD /samples/eXe.exe /c+dir+c:\ 404 -
2005-09-19 22:21:23 82.61.35.144 - 210.52.xxx.xx 80 HEAD /samples/dildo.exe /c+dir+c:\ 404 -
2005-09-19 22:21:26 82.61.35.144 - 210.52.xxx.xx 80 HEAD /samples/cmd1.exe /c+dir+c:\ 404 -
2005-09-19 22:21:58 82.61.35.144 - 210.52.xxx.xx 80 HEAD /samples/bs.exe /c+dir+c:\ 404 -
2005-09-19 22:22:02 82.61.35.144 - 210.52.xxx.xx 80 HEAD /samples/boot.exe /c+dir+c:\ 404 -
2005-09-19 22:22:08 82.61.35.144 - 210.52.xxx.xx 80 HEAD /samples/az.exe /c+dir+c:\ 404 -
2005-09-19 22:22:09 82.61.35.144 - 210.52.xxx.xx 80 HEAD /samples/Serverdata.exe /c+dir+c:\ 404 -
2005-09-19 22:25:55 82.61.35.144 - 210.52.xxx.xx 80 HEAD /root.exe /c+dir+c:\ 404 -
2005-09-19 22:27:12 82.61.35.144 - 210.52.xxx.xx 80 HEAD /msdac/root.exe /c+dir+c:\ 404 -
2005-09-19 22:27:16 82.61.35.144 - 210.52.xxx.xx 80 HEAD /msadc/war.exe /c+dir+c:\ 403 -
2005-09-19 22:27:17 82.61.35.144 - 210.52.xxx.xx 80 HEAD /msadc/update.exe /c+dir+c:\ 403 -
2005-09-19 22:27:18 82.61.35.144 - 210.52.xxx.xx 80 HEAD /msadc/test.exe /c+dir+c:\ 403 -
2005-09-19 22:27:20 82.61.35.144 - 210.52.xxx.xx 80 HEAD /msadc/sys.exe /c+dir+c:\ 403 -
2005-09-19 22:27:21 82.61.35.144 - 210.52.xxx.xx 80 HEAD /msadc/superlol.exe /c+dir+c:\ 403 -
2005-09-19 22:27:22 82.61.35.144 - 210.52.xxx.xx 80 HEAD /msadc/spooler.exe /c+dir+c:\ 403 -
2005-09-19 22:27:23 82.61.35.144 - 210.52.xxx.xx 80 HEAD /msadc/spool.exe /c+dir+c:\ 403 -
2005-09-19 22:27:25 82.61.35.144 - 210.52.xxx.xx 80 HEAD /msadc/some.exe /c+dir+c:\ 403 -
2005-09-19 22:27:29 82.61.35.144 - 210.52.xxx.xx 80 HEAD /msadc/sky.exe /c+dir+c:\ 403 -
2005-09-19 22:27:42 82.61.35.144 - 210.52.xxx.xx 80 HEAD /msadc/sklp.exe /c+dir+c:\ 403 -
2005-09-19 22:27:55 82.61.35.144 - 210.52.xxx.xx 80 HEAD /msadc/shell.exe /c+dir+c:\ 403 -
2005-09-19 22:27:57 82.61.35.144 - 210.52.xxx.xx 80 HEAD /msadc/serverdata.exe /c+dir+c:\ 403 -
2005-09-19 22:27:59 82.61.35.144 - 210.52.xxx.xx 80 HEAD /msadc/sensepost.exe /c+dir+c:\ 403 -
2005-09-19 22:28:00 82.61.35.144 - 210.52.xxx.xx 80 HEAD /msadc/root.exe /c+dir+c:\ 403 -
2005-09-19 22:28:01 82.61.35.144 - 210.52.xxx.xx 80 HEAD /msadc/mumu.exe /c+dir+c:\ 403 -
2005-09-19 22:28:05 82.61.35.144 - 210.52.xxx.xx 80 HEAD /msadc/mstart.exe /c+dir+c:\ 403 -
2005-09-19 22:28:20 82.61.35.144 - 210.52.xxx.xx 80 HEAD /msadc/lsass.exe /c+dir+c:\ 403 -
2005-09-19 22:28:21 82.61.35.144 - 210.52.xxx.xx 80 HEAD /msadc/lord.exe /c+dir+c:\ 403 -
2005-09-19 22:28:23 82.61.35.144 - 210.52.xxx.xx 80 HEAD /msadc/lmao.exe /c+dir+c:\ 403

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
可是奇怪的是我的目录下面并没有那些文件，会不会是他用好了删除了？
另外Ip是意大利的，应该是用了代理做了跳板。因为他入侵以后起的用户名是中文拼音的！！

哪位大侠能从中参透些什么吗？？？？？？？？？？？

---

作者: ayazero    时间: 2005-09-20 13:36
标题: 【崩溃】寻找一个系统监视软件
这只是扫描器的动作

---

作者: mmhh516    时间: 2005-09-20 13:58
标题: 【崩溃】寻找一个系统监视软件
404，是没有找到，403忘啦！

---

作者: mmhh516    时间: 2005-09-20 14:02
标题: 【崩溃】寻找一个系统监视软件
在成功的获取了文件的数据的情况下，服务器会产生HTTP 200 OK的应答记录。如果这个文件不存在就会产生404 notfound，如果权限不够就会产生403 access denied,其他的HTTP常见应答代码还包括：

202 Accepted 已经接受请求，但处理尚未完成；

301 Moved Permanently 客户请求的文档在其他地方，新的URL在Location头中给出，浏览器应该自动地访问新的URL；

401 Unauthorized 客户试图未经授权访问受密码保护的页面。

应答中会包含一个
WWW-Authenticate头，浏览器据此显示用户名字/密码对话框，然后在填写合适的Authorization头后再次发出请求；

414 Request URI Too Long URI太长；
500 Internal Server Error 服务器遇到了意料不到的情况，不能完成客户的请求。

　　如果想得到一份完整的HTTP应答代码列表，可以在GOOGLE里搜索，网络上很多地方可以提供该列表。

---

作者: vikingwo    时间: 2005-09-20 15:43
标题: 【崩溃】寻找一个系统监视软件
多谢楼上各位热心解答。
我还在安全审查日志里面发现很多有用的东西，可是就是不会分析。

目前我可以从日志中发现他是什么时候进来的，进来的时候创建了什么用户，提升了什么权限。 但是不知道他是怎么进来的。而且ip地址也没有显示出来。 郁闷啊，不过我觉得离对手越来越近了。

我实在搞不懂，这个人为何要入侵我的服务器，我就算从新安装的系统，补丁和安全措施都做过的情况下都能入侵进来，但是1个月来并没有做什么破坏，也没有发现他安装代理等服务。我真是寝室难安了，老大们，救人救到底，你们要帮我查查啊：（

---

作者: mmhh516    时间: 2005-09-20 22:57
标题: 【崩溃】寻找一个系统监视软件
看你的日志，你的服务器应该有web服务。按你说的意思，注意网页木马，一般加密后杀毒软件也看出来得。

---

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)

Powered by Discuz! X3.2