网站挂马检测 麦咖啡vse 8.5服务器如何查找挂马?
正好今天在查看服务器日志的时候.发现McAfee又一次成功的拦截了挂马,特给大家分享下。
重点:
单单的防还是不能解决问题,下面是我们找出真凶了
给大家介绍一个工具可以像MMC计算机管理管理单元中的“会话”文件夹,显示的是通过网络登录到计算机的会话,
远程服务管理单元显示的是远程桌面登录的会话,但没有一个工具可以显示所有登录会话---不管任何登录类型--以及这些用户使用的程序列表。
这个工具是Sysinternals(现在已经是微软)的LogoSessions工具!
http://www.microsoft.com/technet/sysinternals/security/logonsessions.mspx
可以从这个地址去下载 Free
可以把LogoSessions中显示代码和其它工具显示的信息关联起来。
复制代码
代码如下:
日志
=========
Logonsesions v1.1
Copyright (C) 2004 Bryce Cogswell and Mark Russinovich
Sysinternals - wwww.sysinternals.com
[0] Logon session 00000000:000003e7:
User name: WORKGROUP\SDAHFPWE
Auth package: NTLM
Logon type: (none)
Session: 0
Sid: S-1-5-18
Logon time: 2008-2-18 15:33:05
Logon server:
DNS Domain:
UPN:
356: \SystemRoot\System32\smss.exe
404: \??\C:\WINDOWS\system32\csrss.exe
428: \??\C:\WINDOWS\system32\winlogon.exe
472: C:\WINDOWS\system32\services.exe
484: C:\WINDOWS\system32\lsass.exe
692: C:\WINDOWS\system32\svchost.exe
836: C:\WINDOWS\System32\svchost.exe
960: C:\WINDOWS\system32\spoolsv.exe
1128: C:\Program Files\Symantec\pcAnywhere\awhost32.exe
1164: C:\WINDOWS\System32\svchost.exe
1300: C:\Program Files\McAfee\Common Framework\FrameworkService.exe
1376: C:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe
1452: C:\Program Files\McAfee\Common Framework\naPrdMgr.exe
1532: C:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.exe
1696: C:\WINDOWS\System32\svchost.exe
1912: C:\WINDOWS\System32\svchost.exe
3844: C:\WINDOWS\system32\wbem\wmiprvse.exe
4000: C:\WINDOWS\system32\dllhost.exe
3172: C:\Program Files\McAfee\VirusScan Enterprise\mcshield.exe
3960: \??\C:\WINDOWS\system32\csrss.exe
396: \??\C:\WINDOWS\system32\winlogon.exe
372: C:\WINDOWS\system32\inetsrv\inetinfo.exe
2920: C:\WINDOWS\System32\svchost.exe
2780: \??\C:\WINDOWS\system32\csrss.exe
1576: \??\C:\WINDOWS\system32\winlogon.exe
[1] Logon session 00000000:000081e5:
User name:
Auth package: NTLM
Logon type: (none)
Session: 0
Sid: (none)
Logon time: 2008-2-18 15:33:05
Logon server:
DNS Domain:
UPN:
[2] Logon session 00000000:0000c0f7:
User name: NT AUTHORITY\ANONYMOUS LOGON
Auth package: NTLM
Logon type: Network
Session: 0
Sid: S-1-5-7
Logon time: 2008-2-18 15:33:08
Logon server:
DNS Domain:
UPN:
[3] Logon session 00000000:000003e5:
User name: NT AUTHORITY\LOCAL SERVICE
Auth package: Negotiate
Logon type: Service
Session: 0
Sid: S-1-5-19
Logon time: 2008-2-18 15:33:09
Logon server:
DNS Domain:
UPN:
[4] Logon session 00000000:5cbf7d87:
User name: SDAHFPWE-WUYMBI\maggie
Auth package: NTLM
Logon type: RemoteInteractive
Session: 2
Sid: S-1-5-21-1476199771-2381760486-1211474579-1009
Logon time: 2008-2-21 9:44:18
Logon server: SDAHFPWE-WUYMBI
DNS Domain:
UPN:
3164: C:\WINDOWS\system32\rdpclip.exe
740: C:\WINDOWS\Explorer.EXE
3528: C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE
392: C:\WINDOWS\system32\ctfmon.exe
3952: C:\WINDOWS\system32\mmc.exe
336: C:\Program Files\RhinoSoft.com\Serv-U\ServUAdmin.exe
[5] Logon session 00000000:60d81435:
User name: SDAHFPWE-WUYMBI\IUSR_SDAHFPWE-WUYMBI
Auth package: NTLM
Logon type: NetworkCleartext
Session: 0
Sid: S-1-5-21-1476199771-2381760486-1211474579-1015
Logon time: 2008-2-21 10:55:33
Logon server: SDAHFPWE-WUYMBI
DNS Domain:
UPN:
[6] Logon session 00000000:000003e4:
User name: NT AUTHORITY\NETWORK SERVICE
Auth package: Negotiate
Logon type: Service
Session: 0
Sid: S-1-5-20
Logon time: 2008-2-18 15:33:06
Logon server:
DNS Domain:
UPN:
2496: c:\windows\system32\inetsrv\w3wp.exe
[7] Logon session 00000000:000309aa:
User name: SDAHFPWE-WUYMBI\jooline2008sh
Auth package: NTLM
Logon type: RemoteInteractive
Session: 1
Sid: S-1-5-21-1476199771-2381760486-1211474579-500
Logon time: 2008-2-18 15:35:34
Logon server: SDAHFPWE-WUYMBI
DNS Domain:
UPN:
[8] Logon session 00000000:60f64f82:
User name: SDAHFPWE-WUYMBI\jooline2008sh
Auth package: NTLM
Logon type: RemoteInteractive
Session: 3
Sid: S-1-5-21-1476199771-2381760486-1211474579-500
Logon time: 2008-2-21 11:06:47
Logon server: SDAHFPWE-WUYMBI
DNS Domain:
UPN:
1840: C:\WINDOWS\system32\rdpclip.exe
3580: C:\WINDOWS\Explorer.EXE
2876: C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE
888: C:\Program Files\RhinoSoft.com\Serv-U\ServUTray.exe
3280: C:\WINDOWS\system32\cmd.exe
376: C:\WINDOWS\system32\conime.exe
1820: C:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe
720: C:\WINDOWS\system32\NOTEPAD.EXE
2320: E:\logonsessions.exe
==============================
在安全日志事件中,可以把输出的登录会话ID和安全日志事件说明进行关联,查找登录事件和会话相关的事件。
这样很容易找到是怎么回事了....
软件破解教程 软件破解新手必须了解的问题和答案
1.软件怎么判断我们是否注册了?不要忘了,软件最终是按照人的思维做的,我们回到自身来,“如果是你,你怎么判断别人是否注册了呢”,“我要别人输入用户名和注册码啊”,聪明的想法,很多软件也是这样做的,如
详情2018-01-20 17:30:15责编:llp 来源:驱动管家什么是cisco路由器?cisco路由器配置的教程
思科路由器配置过程还是比较复杂的,需要考虑的因素很多,特别在安全方面。其实没必要把路由器想的那么复杂,其实路由器就是一个具有多个端口的计算机,只不过它在网络中起到的作用与一般的PC不同而已。如何才能
详情2018-01-15 10:30:28责编:llp 来源:驱动管家qq游戏大厅怎么多开?qq游戏大厅多开的方法
qq游戏大厅怎么多开?qq游戏大厅多开的方法 1 一台电脑只能登陆一个QQ游戏,就算能进去,但是相同IP不你能在同一个房间。我的这个方法可以在一台电脑上登陆N个QQ游戏,而且可以在同一个房间刷欢乐豆。先找一个代
详情2018-01-04 09:07:50责编:llp 来源:驱动管家ssl安全部署的七个步骤 ssl证书是什么?
SSL(安全套接字层)广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输,以保障在Internet上数据传输之安全。下面小编将为大家探讨新的SSL安全形势以及新的安全问题。下面让我们来了解这些SSL安全问题以及
详情2018-01-17 11:04:44责编:llp 来源:驱动管家什么是session?cookies怎么欺骗入侵?
我们先来说下基础知识,免的一些菜鸟看不懂,有借鉴 cookies欺骗,就是在只对用户做cookies验证的系统中,通过修改cookies的内容来得到相应的用户权限登录。什么是Session?当一个访问者来到你的网站的时候一个S
详情2018-01-19 10:59:43责编:llp 来源:驱动管家如何通过135端口入侵网站?135端口入侵的方法大揭秘
协议并提供DCOM(分布式组件对象模型)服务,通过RPC可以保证在一台计算机上运行的程序可以顺利地 执行远程计算机上的代码;
详情2018-01-05 10:48:26责编:llp 来源:驱动管家win7系统如何隐藏文件夹?创建带密码隐藏文件夹
Win7系统下如何创建带密码隐藏的文件夹保护个人隐私文件,按以下步骤进行操作:1、首先创建一个文件夹,并命名为“隐藏文件”;2、然后打开该文件夹,然后在窗口空白处右击鼠标选择“新建→ 文本文档”命令创
详情2018-01-19 10:19:55责编:llp 来源:驱动管家织梦cms网站出现漏洞 dedecms 5.5程序泄露网站路径信息
首发:红科网安作者:Amxking漏洞程序:dedecms5 5测试对象:织梦网CMS官方网站提交时间:2010-03-17漏洞类型:信息泄露危险等级:低漏洞描述:dedecms 5 5程序泄露网站路径信息。 测试地址:http: www dedecm
详情2018-01-16 18:09:54责编:llp 来源:驱动管家windowsxp系统怎么设置隐藏密码?
随着电脑硬件价格的不断下跌,笔者的“老爷机”通过升级终于又重振雄风,也跑上了双系统(Windows XP和Windows 2000)。由于电脑放在宿舍里,自然也就成了“公共产品”,但在Windows 2000系统中有许多设置确实
详情2018-01-16 13:30:22责编:llp 来源:驱动管家windows密码怎么破解?这款密码清除软件可以轻松做到
当你在使用电脑时,不小心将管理员登录密码忘记了,怎么办呢?虽然网上和各IT杂志介绍了很多种破解管理员登录密码的方法,但操作起来都比较麻烦,并且针对不同的系统须要用不同的破解方法。例如,用破解Winodws 2
详情2018-01-30 09:59:15责编:llp 来源:驱动管家
- Win8系统如何安装未签名驱动?更新Win8驱动后怎么还原
- 有道云笔记可以使用多笔记同时编辑吗?有道云笔记怎么设置?
- xp系统怎么做无线网络连接设置?xp系统无线网络连接设置
- 戴尔d800系列笔记本的性价比怎么样?
- 给戴尔游匣7000笔记本换显示屏就是这么轻松简单
- 给苹果电脑文件夹加密的操作方法是什么
- 关于后缀名为aspx文件怎么打开?aspx文件怎么编辑
- 华为荣耀畅玩4的购买方法 买华为荣耀畅玩4的攻略
- 华为p8青春版的配置 主打设计与配置平衡
- 新浪微博会员有什么好处?新浪微博会员怎么开通?
- 电脑声音一会大一会小是什么原因?电脑声音忽大忽小怎么解决?
- adobe flash漏洞的后果 如何在metasploit编写该漏洞exp?
- solidworks转换CAD图层映射的方法是什么?solidworks教程
- 腾讯手游助手游戏卡顿怎么解决?腾讯手游助手卡顿解决办法
- 戴尔m6400笔记本电脑最详细的评测介绍
- 怎么给你的戴尔n4030笔记本轻松拆机换散热风扇
- 用烦了windows系统试下更换桌面操作系统吧
- 怎么在win7电脑上获得管理员权限
- 华为荣耀3c怎么样?看了华为荣耀3c图片就知道了
- oppo r9死机怎么办?oppo r9只需强制重启就可解决