事件ID为560审核失败的原因及解决办法
web服务器经常出现事件ID为 560 结果为审核失败的日志:
打开的对象:
对象服务器: PlugPlayManager
对象类型: Security
对象名称: PlugPlaySecurityObject
句柄 ID: -
操作 ID: {0,2926530488}
进程 ID: 440
图像文件名: C:\WINDOWS\system32\services.exe
主要用户名: 0JR8HI9N$
主要域: WORKGROUP
主要登录 ID: (0x0,0x3E7)
客户端用户名: IUSR_0JR8HI9N
客户端域: 0JR8HI9N
客户端登录 ID: (0x0,0xAE2E04B8)
访问次数: (0x0,0xAE2E04B8)
特权: 指定的访问权未知(bit 0)
受限 Sid 计数: -
访问掩码: 0
有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持
解决方法:
经过本人长久以来观察发现每次出现这个事件,必定是某个网站被人传了木马,该事件是asp,asa木马运行后留下的日志,由于服务器上网站很多,我们用uedit文本编辑器的批量查找功能查找木马运行后留在日志文件里的特殊字符串就可以发现是哪个网站被上传了木马,木马是什么时候运行的,可以根据攻击者ip查找攻击者所有操作记录;关于木马运行后留在日志文件里的特殊字符串,大家可以找个木马测试一下,然后看web日志就知道了,我这里提供几个:
Action=Show
Action=*plgm*
Action=Show1File
Action=*Cmd*
Action=*Shell*
Action=ServerInfo
Action=SrvInfo
最后:某些网站后台需要执行添加新图片或者文章的时候,偶尔也会出现这个日志提示,因此管理员查到时要根据实际情况准确判断,不可把非木马程序删除了,要不客户得找你麻烦了。
打开的对象:
对象服务器: PlugPlayManager
对象类型: Security
对象名称: PlugPlaySecurityObject
句柄 ID: -
操作 ID: {0,2926530488}
进程 ID: 440
图像文件名: C:\WINDOWS\system32\services.exe
主要用户名: 0JR8HI9N$
主要域: WORKGROUP
主要登录 ID: (0x0,0x3E7)
客户端用户名: IUSR_0JR8HI9N
客户端域: 0JR8HI9N
客户端登录 ID: (0x0,0xAE2E04B8)
访问次数: (0x0,0xAE2E04B8)
特权: 指定的访问权未知(bit 0)
受限 Sid 计数: -
访问掩码: 0
有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持
解决方法:
经过本人长久以来观察发现每次出现这个事件,必定是某个网站被人传了木马,该事件是asp,asa木马运行后留下的日志,由于服务器上网站很多,我们用uedit文本编辑器的批量查找功能查找木马运行后留在日志文件里的特殊字符串就可以发现是哪个网站被上传了木马,木马是什么时候运行的,可以根据攻击者ip查找攻击者所有操作记录;关于木马运行后留在日志文件里的特殊字符串,大家可以找个木马测试一下,然后看web日志就知道了,我这里提供几个:
Action=Show
Action=*plgm*
Action=Show1File
Action=*Cmd*
Action=*Shell*
Action=ServerInfo
Action=SrvInfo
最后:某些网站后台需要执行添加新图片或者文章的时候,偶尔也会出现这个日志提示,因此管理员查到时要根据实际情况准确判断,不可把非木马程序删除了,要不客户得找你麻烦了。
顶(0)
踩(0)
- 最新评论