Estou sendo hackeado id de evento de segurança S-1-5-7

Question

Estou sendo hackeado id de evento de segurança S-1-5-7

#1 resposta do (3 votos)

0

eu achei isso no meu log de eventos não tenho certeza se im

a fonte parece potencialmente perigosa

O gerenciador de controle de serviço (SCM) é iniciado na inicialização do sistema. É um servidor de chamada de procedimento remoto (RPC), para que os programas de configuração de serviço e de controle de serviço possam manipular serviços em máquinas remotas.

Eu olhei no log de eventos de segurança e não consigo encontrar nenhuma correlação com o ID de login

            1201 - Time                     : 11/19/2012 11:02:52 PM
            1202 - Source                   : Service Control Manager
            1203 - Description              : An account was logged off.

                                              Subject:
                                                Security ID:        S-1-5-7
                                                Account Name:       ANONYMOUS LOGON
                                                Account Domain:     NT AUTHORITY
                                                Logon ID:       0x13e82ef

                                              Logon Type:           3

windows security

por Sebastien Stettler 21.11.2012 / 19:30

1 resposta

Tags windows security

Como salvar ou manter a lista de marcas de Firefox como um arquivo separado? differnce entre blocksize e bytesize em sistemas de arquivos linux / unix

score 3 · Answer 1

O "Source" é o que está relatando o evento para o log de eventos, não necessariamente a causa.

S-1-5-7 é o ID de segurança de um Usuário "anônimo" , não o ID do evento.

Com base no tipo de logon (3), parece que (permitido) acesso anônimo a um recurso de rede no seu computador (como uma pasta compartilhada, impressora, etc.). Portanto, ninguém está hackeando, eles estão simplesmente usando um recurso que pode ser usado por usuários sem fazer login com um nome de usuário / senha (AKA: Anonymous).

Encontre o evento correspondente de Logon (provavelmente a identificação de evento 4624) e seus detalhes devem informar de onde eles estão efetuando login (endereço IP).

Mais informações sobre os tipos de Logon aqui .