事件ID: 861   进程标识符:904 排查方法: win+R键调出运行窗口, 输入cmd 输入tasklist  /SVC /FI “PID eq 904” 查找进程号904对应的是不是dhcp, Dnscache 服务. 如果是那就是正常的网络服务. /SVC  显示所有进程和对应的服务 /FI 指定过滤…

服务器的时间同步失败,通过命令行的形式进行处理. 1.编写时间命令行代码 w32tm /config /manualpeerlist:time.windows.com /syncfromflags:MANUAL w32tm /config /update w32tm /resync (注意:命令行后的空格不可去掉,我的批处理名为“WindowsTimeSync.bat”) 2.编写同步任务 @echo onset curpath=%cd%c:cd %systemroot%schtasks /cr…

本系列文章由jadeshu编写,转载请注明出处.http://blog.csdn.net/jadeshu/article/details/22309265 作者:jadeshu   邮箱: jadeshu@qq.com    欢迎邮件交流 熟悉了DOS编程的朋友会更加深了解过程化模型,在DOS环境下,应用程序是一句一句逐个执行的.程序员思考问题的方式和机器的执行顺序是一样的.不需要考虑消息,不需要考虑多线程,一切都是顺其自然.然而在Windows环境下,它使用的是事件驱动的编程模型,应用程序通过…

最近看了一下公司服务器的日志,在安全里,总是有审核失败,特别烦人,尝试密码特别弱智,总是用Administrator做用户名,不停的变换密码,真的烦,用户里面根本就没有Administrator,早就删了,这些暴力破解的真的蠢. 但是日志系统总是记录,怎么办.于是就在网上查怎么屏蔽IP,发现了一种在本地安全策略里屏蔽IP的方法,发现好用.只是在添加阻止IP的时候,如何表示IP段这里,没有发现网上有介绍,于是就按照Linux下的写法, 添加了 195.19.0.0/16 和 62.76.0.0/1…

在传统的服务器系统中,服务器仅针对接收到的客户端消息进行解析,并处理后回复响应.在该过程中服务器并不会主动判断客户端类型.但在现实中,往往存在多种类型的客户端设备,比如物联网下的智能家居系统,就存在智能电视.智能灯具.智能空调等,甚至一类客户端也可区分为网页端设备和移动端设备.不同类型的设备的消息处理机制不同,同一类型的网页端和移动端的消息处理也可能存在些许差别.此时服务器就需要对多种类型的设备进行管理. 设备类型机制及消息事件设计 一般而言,服务器检测客户端类型,存在两种方法: l  为不同类…

Windows应急日志常用的几个事件ID点击站内没有搜索到,可能搜索姿势不对,发一下吧,应急时可能会用到,根据日志时间点判断入侵 日志路径:C:\Windows\System32\winevt\Logs查看日志:Security.evtx.System.evtx.Application.evtx如何查看:右键我的电脑-管理-系统工具-事件查看器,或者eventvwr查看事件查看器 打开Windows系统的事件查看器,右键单击系统或安全日志,选择筛选当前日志,在筛选器中输入下列事件ID即可. 系统…

事件查看器从简单的查看电脑登录信息到检查系统是否出现错误,是否被入侵都有着很重要的作用,Microsoft为了简便,采用事件ID来代表一些信息,下面是我从Microsoft找来的WIN2003的对应关系. 事件ID:517     审核日志已经清除事件ID:528     登陆成功                      可以显示客户端连接ip地址事件ID:683     会话从 winstation 中断连接     可以查看客户端计算机名事件ID:624     创建了用户帐户事件ID:6…

一.利用Windows自带的防火墙日志检测入侵 下面是一条防火墙日志记录 2005-01-1300:35:04OPENTCP61.145.129.13364.233.189.104495980 2005-01-1300:35:04:表示记录的日期时间 OPEN:表示打开连接:如果此处为Close表示关闭连接 TCP:表示使用的协议是Tcp 61.145.129.133:表示本地的IP 64.233.189.104:表示远程的IP 4959:表示本地的端口 80:表示远程的端口.注:如果此处的端口…

win2008系统日志不断出现[审核失败] [现象] 今天查看windows日志,在  -安全-  发现不断有消息刷出,显示  -审核失败-  事件ID为4624 的记录  每分钟大概刷新8条消息(如图) [个人判断] 可能存在不断的尝试性登入,试图在短时间内不断的以多个帐密测试破解登入帐密,攻入服务器远程控制. [日志记录详细日志]      [处理/解决方案] 1.使用防火墙限制指定IP不能访问 2.在日志>网络信息>源网络地址:  58.211.7.237  查到尝试登录IP 3.使用防…

0x00 前言简述 最近单位在做等保测评,由本人从事安全运维方面的工作(PS:曾经做过等保等方面的安全服务),所以自然而然的与信安的测评人员一起对接相关业务系统的检查,在做主机系统测评检查时发现了系统中某些配置不符合等保要求,需要对不满足要求的主机做进一步整改,好在我们众多的系统基本都是运行在虚拟机…