人在网上漂，那有不挨刀。不过如果自己挨了刀却没有察觉那就是太郁闷了。经过多次测试，我发现用好登录安全审核就可以知道自己到底被黑过没有了。
我这里用宿舍哥们的机子作“肉鸡”，用3389远程登录，。然后在“运行”中输入gpedit.msc进入组策略，打开审核登录事件，再来测试一下登录安全审核会记录什么。

测试1、我在离开时选择“开始→关机→断开”，再来看看审核的结果（下图），可以发现事件记录登录者完整的IP和用户名，各位小黑们记着不要这样离开，小心被人叫去喝茶。

1.jpg (26.42 KB)

2008-2-23 11:25

小提示：正确的方法是在离开“肉鸡”时 选择“开始→关机→注销”，完成 “肉鸡”日志里
只记录了这一个事件，但没记录登录者的IP和用户名，这样比较安全。
测试2：登录中时如果登录密码打错了，登录审核会记录些什么？我看见安全审核中有两个审核日志，第一个日志里面没有什么有用的内容。
但第二个事审核事件，就叫登录者不那么好过了（下图），里面包含了登录者的用户名，用命令“Ping 用户名”就可以找到登录者了。

2.jpg (28.45 KB)

2008-2-23 11:25

测试3：在离开“肉鸡”时，为了不留下痕迹黑客们都喜欢清除日志（下图），以免惹来不必要的麻烦。但在事实中是不是很管用呢！我也来测试一下。

3.jpg (45.03 KB)

2008-2-23 11:25

这里我清除审核日志后，发现审核日志里还会产生一个新的日志，虽然这条信息不能给管理员带来什么，但管理员可以很明显的看出有人入侵了，进而采取手段来防止他人再次入侵。

4.jpg (28.18 KB)

2008-2-23 11:25

[ 本帖最后由 w1k2202 于 2008-2-23 12:01 编辑 ]

不错

学习,原来日志是这样看的.以前一直郁闷..有点明白了.
谢谢楼主.

请教下楼主，用户NT AUTHORITY\LOCAL SERVICE是什么意思？

计算机内置帐号

请问一下，现在还有人开3389吗？

不错  我以前都不注意看的拉

楼主第二张图里，偶看日志也有这个尝试登陆的用户，不过是审核成功，而且是账户登陆。
请教楼主能不能解释下。

引用:

原帖由 急需排毒 于 2008-2-23 18:42 发表
请问一下，现在还有人开3389吗？

应该还有的,目前小白还是挺多的.

引用:

原帖由 kscb0327714 于 2008-2-23 20:20 发表
楼主第二张图里，偶看日志也有这个尝试登陆的用户，不过是审核成功，而且是账户登陆。
请教楼主能不能解释下。

不太明白你的话

我的审核日志中，有个账户登陆的记录，与第二张图相似，尝试登陆的用户与图中的一样，审核通过了。

s1.jpg (34.44 KB)

2008-2-23 23:41

难道是被入侵了？

[ 本帖最后由 kscb0327714 于 2008-2-23 23:41 编辑 ]

引用:

原帖由 kscb0327714 于 2008-2-23 23:34 发表
我的审核日志中，有个账户登陆的记录，与第二张图相似，尝试登陆的用户与图中的一样，审核通过了。
16109648
难道是被入侵了？

不是你自己的帐号吧?

尝试登陆的用户不是偶机子上的，
图中涂黑部分是偶的账户。

应该没有,,,和图中一样的帐号是计算机的内置帐号....

如果真被入侵了，用户应该不是自己的账户？
总听人说，黑客取得系统权限，是怎么回事？

引用:

原帖由 kscb0327714 于 2008-2-25 11:18 发表
如果真被入侵了，用户应该不是自己的账户？
总听人说，黑客取得系统权限，是怎么回事？

真的被入侵后，黑客可以是你的帐号，也可以不是。
黑客取得系统最高权限只是有2种：1、破解的你管理员帐号
（现在基本很多人直接拿管理员帐号上网的，并且很多是弱口令，甚至空密码）。
2、重新建立帐号，并把黑客自己建立的帐号添加到管理员组里面，这样同样可以取得最高权限。

引用:

原帖由 w1k2202 于 2008-2-25 14:33 发表
真的被入侵后，黑客可以是你的帐号，也可以不是。
黑客取得系统最高权限只是有2种：1、破解的你管理员帐号
（现在基本很多人直接拿管理员帐号上网的，并且很多是弱口令，甚至空密码）。
2、重新建立帐号，并 ...

一些反弹型木马,也需要管理员权限吗?

学习

引用:

原帖由 山上有都督 于 2008-2-25 19:32 发表


一些反弹型木马,也需要管理员权限吗?

什么叫反弹型木马???

引用:

原帖由 海为谁蓝 于 2008-2-26 21:05 发表




什么叫反弹型木马???

什么叫"反弹端口"型木马呢？作者经过分析防火墙的特性后发现：大多数的防火墙对于由外面连入本机的连接往往会进行非常严格的过滤，但是对于由本机发出的连接却疏于防范（当然有的防火墙两方面都很严格）。于是，与一般的木马相反，"反弹端口"型木马的服务端(被控制端)使用主动端口，客户端(控制端)使用被动端口，当要建立连接时，由客户端通过FTP主页空间告诉服务端："现在开始连接我吧！"，并进入监听状态，服务端收到通知后，就会开始连接客户端。为了隐蔽起见，客户端的监听端口一般开在80，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似"TCP 服务端的IP地址:1026，客户端的IP地址:80 ESTABLISHED"的情况，稍微疏忽一点你就会以为是自己在浏览网页。防火墙也会如此认为，大概没有哪个防火墙会不给用户向外连接80端口吧。这类木马的典型代表就是"网络神偷"。由于这类木马仍然要在注册表中建立键值，因此只要留意注册表的变化就不难查到它们。再加上一点社会工程学技术,从而突破了网络防火墙的限制,也因此诞生了一种新的木马技术——“反弹型”木马。这一...木马的发展促进了安全技术的提高,而安全技术的提高又迫使木马必须往更高的级别发展,到现在木马已经形成了多个派系..