如果你启用了登陆事件、策略更改、账户登陆、系统事件的成功失败的审核,那么任何成功的入侵都将在安全日志中留下痕迹
推荐对服务器维护的做法:
1、建议每天最少检查一次安全日志。
推荐重点检查的ID事件
529:登录失败,试图使用未知用户名或带有错误密码的已知用户名进行登录。
528:用户成功登录到计算机上。
539:登录失败:登录帐号在登录尝试时被锁定。此事件表明有人发动密码攻击但未成功,因而导致账户锁定
682:用户重新连接到一个已经断开连接的终端服务器会话上。终端服务攻击
683:用户在没有注销的情况下与终端服务器会话断开连接。终端服务攻击
624:一个用户帐号被创建。
625:更改了用户账户类型
626:启用了用户账户
629:禁用了用户账户
630:删除了用户账户 继续阅读
在管理服务器的过程中,意外的发现,explorer.exe这个进程突然崩溃了,甚至连win+r运行也没反映。桌面只有一片空白,不能执行任何东西。又因为服务器是2003。摸索着应该有办法恢复。
开始的时候,因为自己是管理员,尝试重新添加一个管理员,希望explorer.exe能自动的帮我启动,但是无果,还是提示不行。
考虑到这样的情况,应该不好解决 ,因为我自己的机器是双系统,win2003+win7,而且服务器开着web服务,以及FTP,于是我打开了远程控制的设置,进行了一系列的设置:首先先设置远程过后立马启动cmd.exe,与此同时,上传我的windows2003的explorer.exe到指定的FTP文件夹,一切准备就绪之后我打算通过命令的方式追踪它的位置。
设置好以后,输入账户密码:自动帮你启动cmd.exe,然后输入tree命令,列出所有该盘符下的文件(此步骤为了寻找我上传上去的explorer.exe)
最后找到路径:然后利用cd file命令进入了file文件夹,成功的执行我的explorer.exe,最后桌面成功被还原,至此,大工告成。
有时可能explorer.exe被木马病毒损坏了,也可以通过这种方式来还原,不过有时也受条件所限制。分享一下! 继续阅读
针对目前频发的安全事故,以及最近经常流行ms12-020漏洞以及其修改版。
结合这个漏洞,有某位师兄给了我一些防范的建议。
第一是对服务器更新开启自动更新。
第二是对3389远程登录端口的修改,这里我在网上找了一个方法,目前我修改已经成功,拿出来和大家分享。
总共有两个步骤:一是修改服务器端的端口设置;二是客户端连接方法。方法如下(以Windows Server 2003为例,其它系统仅供参考):
一、修改服务器端的端口设置(注册表有2处需要修改) 继续阅读
之前是双系统搭配,2008R1+win7…
后来发现很多渗透软件都不能打开了。。果断换了win2003。
毕竟渗透很多目标都是2003。
刚换上不是很习惯,特别是他那IE的安全配置。。
上网,上Q都一直提示。。
无奈之下只好百度。
发现了一个很好的解决方法:
依次选择开始->控制面板->添加或删除程序->将IE增强配置的钩去掉。
OK大工告成。
其实还有一个方法,就是换成opera、谷歌、火狐这些非IE内核的浏览器也能解决这个弹窗问题。
本文来自:梧桐雨软件园原创,转载请注明出处。