首页 网页制作网络编程脚本专栏数据库网站运营网络安全平面设计CMS教程

麦咖啡(mcafee) VSE 8.5 服务器防挂马心得

所属分类: 网络安全 / 杀毒防毒 阅读数: 153
收藏 0 赞 0 分享

重点:
 

 

单单的防还是不能解决问题,下面是我们找出真凶了

给大家介绍一个工具可以像MMC计算机管理管理单元中的“会话”文件夹,显示的是通过网络登录到计算机的会话,
远程服务管理单元显示的是远程桌面登录的会话,但没有一个工具可以显示所有登录会话---不管任何登录类型--以及这些用户使用的程序列表。
这个工具是Sysinternals(现在已经是微软)的LogoSessions工具!
http://www.microsoft.com/technet/sysinternals/security/logonsessions.mspx
可以从这个地址去下载 Free
可以把LogoSessions中显示代码和其它工具显示的信息关联起来。

复制代码
代码如下:

日志
=========
Logonsesions v1.1
Copyright (C) 2004 Bryce Cogswell and Mark Russinovich
Sysinternals - wwww.sysinternals.com
[0] Logon session 00000000:000003e7:
User name: WORKGROUP\SDAHFPWE
Auth package: NTLM
Logon type: (none)
Session: 0
Sid: S-1-5-18
Logon time: 2008-2-18 15:33:05
Logon server:
DNS Domain:
UPN:
356: \SystemRoot\System32\smss.exe
404: \??\C:\WINDOWS\system32\csrss.exe
428: \??\C:\WINDOWS\system32\winlogon.exe
472: C:\WINDOWS\system32\services.exe
484: C:\WINDOWS\system32\lsass.exe
692: C:\WINDOWS\system32\svchost.exe
836: C:\WINDOWS\System32\svchost.exe
960: C:\WINDOWS\system32\spoolsv.exe
1128: C:\Program Files\Symantec\pcAnywhere\awhost32.exe
1164: C:\WINDOWS\System32\svchost.exe
1300: C:\Program Files\McAfee\Common Framework\FrameworkService.exe
1376: C:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe
1452: C:\Program Files\McAfee\Common Framework\naPrdMgr.exe
1532: C:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.exe
1696: C:\WINDOWS\System32\svchost.exe
1912: C:\WINDOWS\System32\svchost.exe
3844: C:\WINDOWS\system32\wbem\wmiprvse.exe
4000: C:\WINDOWS\system32\dllhost.exe
3172: C:\Program Files\McAfee\VirusScan Enterprise\mcshield.exe
3960: \??\C:\WINDOWS\system32\csrss.exe
396: \??\C:\WINDOWS\system32\winlogon.exe
372: C:\WINDOWS\system32\inetsrv\inetinfo.exe
2920: C:\WINDOWS\System32\svchost.exe
2780: \??\C:\WINDOWS\system32\csrss.exe
1576: \??\C:\WINDOWS\system32\winlogon.exe
[1] Logon session 00000000:000081e5:
User name:
Auth package: NTLM
Logon type: (none)
Session: 0
Sid: (none)
Logon time: 2008-2-18 15:33:05
Logon server:
DNS Domain:
UPN:
[2] Logon session 00000000:0000c0f7:
User name: NT AUTHORITY\ANONYMOUS LOGON
Auth package: NTLM
Logon type: Network
Session: 0
Sid: S-1-5-7
Logon time: 2008-2-18 15:33:08
Logon server:
DNS Domain:
UPN:
[3] Logon session 00000000:000003e5:
User name: NT AUTHORITY\LOCAL SERVICE
Auth package: Negotiate
Logon type: Service
Session: 0
Sid: S-1-5-19
Logon time: 2008-2-18 15:33:09
Logon server:
DNS Domain:
UPN:
[4] Logon session 00000000:5cbf7d87:
User name: SDAHFPWE-WUYMBI\maggie
Auth package: NTLM
Logon type: RemoteInteractive
Session: 2
Sid: S-1-5-21-1476199771-2381760486-1211474579-1009
Logon time: 2008-2-21 9:44:18
Logon server: SDAHFPWE-WUYMBI
DNS Domain:
UPN:
3164: C:\WINDOWS\system32\rdpclip.exe
740: C:\WINDOWS\Explorer.EXE
3528: C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE
392: C:\WINDOWS\system32\ctfmon.exe
3952: C:\WINDOWS\system32\mmc.exe
336: C:\Program Files\RhinoSoft.com\Serv-U\ServUAdmin.exe
[5] Logon session 00000000:60d81435:
User name: SDAHFPWE-WUYMBI\IUSR_SDAHFPWE-WUYMBI
Auth package: NTLM
Logon type: NetworkCleartext
Session: 0
Sid: S-1-5-21-1476199771-2381760486-1211474579-1015
Logon time: 2008-2-21 10:55:33
Logon server: SDAHFPWE-WUYMBI
DNS Domain:
UPN:
[6] Logon session 00000000:000003e4:
User name: NT AUTHORITY\NETWORK SERVICE
Auth package: Negotiate
Logon type: Service
Session: 0
Sid: S-1-5-20
Logon time: 2008-2-18 15:33:06
Logon server:
DNS Domain:
UPN:
2496: c:\windows\system32\inetsrv\w3wp.exe
[7] Logon session 00000000:000309aa:
User name: SDAHFPWE-WUYMBI\jooline2008sh
Auth package: NTLM
Logon type: RemoteInteractive
Session: 1
Sid: S-1-5-21-1476199771-2381760486-1211474579-500
Logon time: 2008-2-18 15:35:34
Logon server: SDAHFPWE-WUYMBI
DNS Domain:
UPN:
[8] Logon session 00000000:60f64f82:
User name: SDAHFPWE-WUYMBI\jooline2008sh
Auth package: NTLM
Logon type: RemoteInteractive
Session: 3
Sid: S-1-5-21-1476199771-2381760486-1211474579-500
Logon time: 2008-2-21 11:06:47
Logon server: SDAHFPWE-WUYMBI
DNS Domain:
UPN:
1840: C:\WINDOWS\system32\rdpclip.exe
3580: C:\WINDOWS\Explorer.EXE
2876: C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE
888: C:\Program Files\RhinoSoft.com\Serv-U\ServUTray.exe
3280: C:\WINDOWS\system32\cmd.exe
376: C:\WINDOWS\system32\conime.exe
1820: C:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe
720: C:\WINDOWS\system32\NOTEPAD.EXE
2320: E:\logonsessions.exe
==============================

在安全日志事件中,可以把输出的登录会话ID和安全日志事件说明进行关联,查找登录事件和会话相关的事件。
这样很容易找到是怎么回事了....

更多精彩内容其他人还在看

McAfee 控制台的用户解锁密码忘记了的解决方法

McAfee VirusScan控制台的用户解锁密码忘记了可以采取以下办法解决,注意是通过删除注册表实现。
收藏 0 赞 0 分享

McAfee的服务器常用杀毒软件下载及安装升级设置图文教程 McAfee杀毒软件防病毒规则设

Mcafee(麦咖啡)与Norton(诺顿)、Kaspersky(卡巴斯基)并称为世界三大杀毒软件,是一款非常优秀的杀软。其监控能力和保护规则相当强大,是同类软件中最好的,是我非常推崇的一款杀软
收藏 0 赞 0 分享

mcafee 密码解锁图文方法[mcafee密码设置,登录,修改,忘记密码]

今天电信机房设置问题,导致网站无法访问了,因为服务器安装了mcafee导致很多操作在服务器上无法运行,所以我们简单弄了一个实现步骤,主要是方便对mcafee不太熟悉的朋友。
收藏 0 赞 0 分享

Mcafee8.5i 安装使用设置详解[图文]

Mcafee的精髓就在于规则设置。只要访问保护规则设置得好,几乎可以说是能够做倒百毒不侵。但它却是所有杀软中设置最为复杂,软件界面也不太符合我们的使用习惯的软件。不过由于它的异常优秀的防毒杀毒效果,却值得推荐
收藏 0 赞 0 分享

McAfee无法自动更新病毒库及运行报错的彻底解决方法分享

发现McAfee无法自动更新病毒库,不知道是什么问题,后来从网上看了下面的方法,试了下,感觉不错,一般重新安装后是没有问题的。
收藏 0 赞 0 分享

用McAfee 8.7i 打造超安全的Web站点目录

Web站点的安全已经受到越来越多人的关注,今天就来教给大家用McAfee 8.7i打造超安全的Web站点目录,站长们尤其要看好了
收藏 0 赞 0 分享

McAfee 8.7i 详细讲解教程--含安装、设置以及规则编写(参照原McAfee85i教程编写)

McAfee8.7i详细讲解教程--含安装、设置以及规则编写(参照卡饭论坛原McAfee85i教程编写),需要的朋友可以参考下
收藏 0 赞 0 分享

2012最新免费杀毒软件排行榜(图文)

杀毒软件多了去了.这么多到底哪个好啊.下面给大家介绍一下.
收藏 0 赞 0 分享

电脑杀蠕虫病毒的操作方法 电脑中了蠕虫病毒怎么办

蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。
收藏 0 赞 0 分享

利用nod32 HIPS禁止程序启动的方法介绍(图文)

信大家都知道,5.0版本更新了一个强大的功能HIPS,HIPS 高级设置有2个分别记录所有阻止操作
收藏 0 赞 0 分享
查看更多

网络赚钱

更多

站长故事

更多
建站极客
合作伙伴
在线工具
建站极客移动版
聚合全网技术文章,根据你的阅读喜好进行个性推荐
© 2012 - 2020 www.zhanzhang360.cn Some Rights Reserved.
沪ICP备13040166号-22