入侵分析
日志的内容如下:
第一个:
登录失败:
原因: 用户名未知或密码错误
用户名: SUPPORT_388945a0
域: IBMX****
登录类型: 2
登录进程: Advapi
身份验证数据包: Negotiate
工作站名称: IBMX****
调用方用户名: *******(管理员用户)
调用方域: IBMX****
调用方登录 ID: (0x0,0x76078CF)
调用方进程 ID: 1464
传递服务: -
源网络地址: -
源端口: -
第二个:
更改密码尝试:
目标帐户名称:
目标域: IBMX****
目标帐户 ID: IBMX****\SUPPORT_388945a0
调用方用户名: ******(管理员用户)
调用方域: IBMX****
调用方登录 ID: (0x0,0x76078CF)
特权: -
第三个:
更改密码尝试:
目标帐户名称:
目标域: IBMX****
目标帐户 ID: IBMX****\SUPPORT_388945a0
调用方用户名: ******
调用方域: IBMX****
调用方登录 ID: (0x0,0x76078CF)
特权: -
第四个:
打开的对象:
对象服务器: Security Account Manager
对象类型: SAM_SERVER
对象名称: SAM
句柄 ID: -
操作 ID: {0,123993155}
进程 ID: 416
图像文件名: C:\WINDOWS\system32\lsass.exe
主要用户名: IBMX***$
主要域: WORKGROUP
主要登录 ID: (0x0,0x3E7)
客户端用户名: -
客户端域: -
客户端登录 ID: (0x0,0x3E6)
访问次数: (0x0,0x3E6)
特权: MAX_ALLOWED
受限 Sid 计数: -
访问掩码: 0
请高手分析一下,是什么地方有问题
要怎么防范
