V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  sbmzhcn  ›  全部回复第 11 页 / 共 11 页
回复总数  210
1 ... 2  3  4  5  6  7  8  9  10  11  
不错,源码能贡献吗
2014-02-06 14:03:25 +08:00
回复了 sbmzhcn 创建的主题 Windows 电脑被爆,开机密码都被修改,求防御方法!!!
我想他是使用扫描工具得到我电脑的3389端口开放的,再加上我的开机密码是生日,比较容易破解,所以能通过远程ip直接进入我的电脑了。 但为什么我用扫描工具找不到自己的电脑呢。我电脑在局域网里,他怎么就进入我的电脑了了,没有进入别人电脑?
2014-02-06 13:23:20 +08:00
回复了 sbmzhcn 创建的主题 Windows 电脑被爆,开机密码都被修改,求防御方法!!!
@tzheng 我活不活该都被黑了,这对你有什么好处吗,反正对我肯定是没有好处的,如果你想要更多的人使用正版,这样的方法没有任何用处,你首先已经让别人没法和你愉快交谈了。 我虽然不能处处用正版,但我如果可以在我承受范围内,我会使用正版的。
2014-02-06 13:09:06 +08:00
回复了 sbmzhcn 创建的主题 Windows 电脑被爆,开机密码都被修改,求防御方法!!!
@yfdyh000 感谢你的回复,让我有所了解,我会详细了解下什么是mssql 弱口令问题,我的确安装了本地的lamp服务器,所以口令都是没有,mysql密码默认是无的。
我的电脑密码4位不相同的数字, 我电脑早上来的时候已经被黑客修改了密码,无法登陆了,我想他应该不知道密码,否则不会下载一个密码重置软件。

@fork3rt mysql默认密码密码无。因为是xampp.我没有修改什么,这个还会有影响啊!!!!
2014-02-06 13:04:47 +08:00
回复了 sbmzhcn 创建的主题 Windows 电脑被爆,开机密码都被修改,求防御方法!!!
@fork3rt 3389端口没有看到。安装了xampp. 443和135端口都有连接信息
―――――――――――――――――――――――
程序名称:httpd.exe
程序说明:Apache HTTP Server
路径:D:\xampp\apache\bin\httpd.exe
安全等级:检测中
PID:1916
网络协议:TCP
本机地址:0.0.0.0
本地端口:443
目标地址:0.0.0.0
目标端口:0
目标IP归属地:
状态:监听

网络连接信息由360安全卫士 – 网络连接查看器生成
―――――――――――――――――――――――
―――――――――――――――――――――――
程序名称:svchost.exe
程序说明:Windows 服务主进程
路径:svchost.exe
安全等级:安全
PID:1012
网络协议:TCP
本机地址:0.0.0.0
本地端口:135
目标地址:0.0.0.0
目标端口:0
目标IP归属地:
状态:监听

网络连接信息由360安全卫士 – 网络连接查看器生成
―――――――――――――――――――――――
2014-02-06 13:00:40 +08:00
回复了 sbmzhcn 创建的主题 Windows 电脑被爆,开机密码都被修改,求防御方法!!!
2014-2-6 0:53:08 从这个IP 124.232.137.121 [湖南省 长沙市(高新区麓谷电信机房) 电信] 登陆:
我电脑也是从此刻被攻破的。下面是事件查看器的详细信息
========================================================================
详细信息:
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4624</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2014-02-05T16:53:08.247268300Z" />
<EventRecordID>175928</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="4872" />
<Channel>Security</Channel>
<Computer>Raymond-PC</Computer>
<Security />
</System>
- <EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">RAYMOND-PC$</Data>
<Data Name="SubjectDomainName">WORKGROUP</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="TargetUserSid">S-1-5-21-3934732709-2969265625-537478689-500</Data>
<Data Name="TargetUserName">Administrator</Data>
<Data Name="TargetDomainName">Raymond-PC</Data>
<Data Name="TargetLogonId">0x80539d2</Data>
<Data Name="LogonType">10</Data>
<Data Name="LogonProcessName">User32</Data>
<Data Name="AuthenticationPackageName">Negotiate</Data>
<Data Name="WorkstationName">RAYMOND-PC</Data>
<Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x2e4c</Data>
<Data Name="ProcessName">C:\Windows\System32\winlogon.exe</Data>
<Data Name="IpAddress">124.232.137.121</Data>
<Data Name="IpPort">3172</Data>
</EventData>
</Event>
===========================================
为新登录分配了特殊权限。
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4672</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12548</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2014-02-05T16:53:08.247268300Z" />
<EventRecordID>175929</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="4872" />
<Channel>Security</Channel>
<Computer>Raymond-PC</Computer>
<Security />
</System>
- <EventData>
<Data Name="SubjectUserSid">S-1-5-21-3934732709-2969265625-537478689-500</Data>
<Data Name="SubjectUserName">Administrator</Data>
<Data Name="SubjectDomainName">Raymond-PC</Data>
<Data Name="SubjectLogonId">0x80539d2</Data>
<Data Name="PrivilegeList">SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege</Data>
</EventData>
</Event>
==========================
登陆
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4624</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12544</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2014-02-05T16:53:12.001483000Z" />
<EventRecordID>175930</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="9936" />
<Channel>Security</Channel>
<Computer>Raymond-PC</Computer>
<Security />
</System>
- <EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">RAYMOND-PC$</Data>
<Data Name="SubjectDomainName">WORKGROUP</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="TargetUserSid">S-1-5-18</Data>
<Data Name="TargetUserName">SYSTEM</Data>
<Data Name="TargetDomainName">NT AUTHORITY</Data>
<Data Name="TargetLogonId">0x3e7</Data>
<Data Name="LogonType">5</Data>
<Data Name="LogonProcessName">Advapi</Data>
<Data Name="AuthenticationPackageName">Negotiate</Data>
<Data Name="WorkstationName" />
<Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
<Data Name="TransmittedServices">-</Data>
<Data Name="LmPackageName">-</Data>
<Data Name="KeyLength">0</Data>
<Data Name="ProcessId">0x248</Data>
<Data Name="ProcessName">C:\Windows\System32\services.exe</Data>
<Data Name="IpAddress">-</Data>
<Data Name="IpPort">-</Data>
</EventData>
</Event>
=============================
特殊登陆
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4672</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12548</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2014-02-05T16:53:12.001483000Z" />
<EventRecordID>175931</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="9936" />
<Channel>Security</Channel>
<Computer>Raymond-PC</Computer>
<Security />
</System>
- <EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">SYSTEM</Data>
<Data Name="SubjectDomainName">NT AUTHORITY</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="PrivilegeList">SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege</Data>
</EventData>
</Event>
=============================================
其它系统事件
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>5058</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12292</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2014-02-05T16:53:43.239269700Z" />
<EventRecordID>175932</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="4872" />
<Channel>Security</Channel>
<Computer>Raymond-PC</Computer>
<Security />
</System>
- <EventData>
<Data Name="SubjectUserSid">S-1-5-20</Data>
<Data Name="SubjectUserName">RAYMOND-PC$</Data>
<Data Name="SubjectDomainName">WORKGROUP</Data>
<Data Name="SubjectLogonId">0x3e4</Data>
<Data Name="ProviderName">Microsoft Software Key Storage Provider</Data>
<Data Name="AlgorithmName">%%2432</Data>
<Data Name="KeyName">TSSecKeySet1</Data>
<Data Name="KeyType">%%2499</Data>
<Data Name="KeyFilePath">C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\f686aace6942fb7f7ceb231212eef4a4_f31f0e8a-f73d-40b3-8a0c-85d8f1e534d1</Data>
<Data Name="Operation">%%2458</Data>
<Data Name="ReturnCode">0x0</Data>
</EventData>
</Event>
=============================================
系统完整性
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>5061</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12290</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2014-02-05T16:53:43.239269700Z" />
<EventRecordID>175933</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="4872" />
<Channel>Security</Channel>
<Computer>Raymond-PC</Computer>
<Security />
</System>
- <EventData>
<Data Name="SubjectUserSid">S-1-5-20</Data>
<Data Name="SubjectUserName">RAYMOND-PC$</Data>
<Data Name="SubjectDomainName">WORKGROUP</Data>
<Data Name="SubjectLogonId">0x3e4</Data>
<Data Name="ProviderName">Microsoft Software Key Storage Provider</Data>
<Data Name="AlgorithmName">RSA</Data>
<Data Name="KeyName">TSSecKeySet1</Data>
<Data Name="KeyType">%%2499</Data>
<Data Name="Operation">%%2480</Data>
<Data Name="ReturnCode">0x0</Data>
</EventData>
</Event>
==================
其它系统事件
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>5058</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>12292</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2014-02-05T16:53:54.023886600Z" />
<EventRecordID>175934</EventRecordID>
<Correlation />
<Execution ProcessID="636" ThreadID="732" />
<Channel>Security</Channel>
<Computer>Raymond-PC</Computer>
<Security />
</System>
- <EventData>
<Data Name="SubjectUserSid">S-1-5-20</Data>
<Data Name="SubjectUserName">RAYMOND-PC$</Data>
<Data Name="SubjectDomainName">WORKGROUP</Data>
<Data Name="SubjectLogonId">0x3e4</Data>
<Data Name="ProviderName">Microsoft Software Key Storage Provider</Data>
<Data Name="AlgorithmName">%%2432</Data>
<Data Name="KeyName">TSSecKeySet1</Data>
<Data Name="KeyType">%%2499</Data>
<Data Name="KeyFilePath">C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\f686aace6942fb7f7ceb231212eef4a4_f31f0e8a-f73d-40b3-8a0c-85d8f1e534d1</Data>
<Data Name="Operation">%%2458</Data>
<Data Name="ReturnCode">0x0</Data>
</EventData>
</Event>
===================================
下面的就一直是登陆,和上面的类似。不粘贴了。

这些能看出什么吗?
2014-02-06 12:51:28 +08:00
回复了 sbmzhcn 创建的主题 Windows 电脑被爆,开机密码都被修改,求防御方法!!!
@yfdyh000 补丁打了,远程 桌面选项没有关。360防护开了。迅雷是官方的。我想我下载东西和被别人黑应该是巧合吧。
事件查看器 我看了,能看出什么呢?
联系我的可能是因为我的工作与他的工作有关系吧。

系统漏洞被爆有可能,那岂不所有人都可能,他是怎么找到我的呢。能过他的留言好像说是无意找到我的电脑。 第三方的木马的话,他应该不会说那句话 [半夜没事,瞎玩的时候,不小心爆到了你机器,没恶意]

如果一个新装的系统的电脑,补丁开完了,会不会被侵入呢?

我电脑是win7
2014-02-06 12:45:28 +08:00
回复了 sbmzhcn 创建的主题 Windows 电脑被爆,开机密码都被修改,求防御方法!!!
@Tink 说的对。 我无意与别人争论用盗版好不好,我的系统也不是正版,我在这儿不是说这事的,我主要想了解下,什么操作会让黑客侵入我的电脑,我平时也很少下什么东西,恶意软件我也很注意,电脑装了360了,没有安装杀毒软件,我的电脑一般不会有什么恶意软件,我想知道的是,如果我的电脑是没有任何木马的,黑客有可能侵入我的电脑吗。

通过这次事,想了解下电脑安全。我以为我的电脑不会有问题,实际上不是如此,希望也能提醒其他人。
2014-02-06 11:48:28 +08:00
回复了 sbmzhcn 创建的主题 Windows 电脑被爆,开机密码都被修改,求防御方法!!!
@taresky 下载游戏还没有安装呢。
2014-02-06 11:20:41 +08:00
回复了 sbmzhcn 创建的主题 Windows 电脑被爆,开机密码都被修改,求防御方法!!!
还留下了一个链接:
<a href=http://www.1dke.com>D客技术安全网</a>
1 ... 2  3  4  5  6  7  8  9  10  11  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4446 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 20ms · UTC 05:34 · PVG 13:34 · LAX 21:34 · JFK 00:34
Developed with CodeLauncher
♥ Do have faith in what you're doing.