我继承了 win 2012 服务器,安全日志中充满了来自 user updater的事件4648。
我发现还有一个更新用户,他们拥有许多正在运行的进程。
他们的描述是:Microsoft windows Update service,所以他们似乎是默认用户,但我找不到任何关于他们的信息。事件4648中报告的目标服务器具有无法由 dns 解析的奇异名称。这是对的吗 ?我想了解发生了什么,因为这些事件会很快填充安全日志,我想避免它。
更新
这是 4648 个事件之一,不幸的是它不是英语:
È stato tentato un accesso utilizzando credenziali esplicite.
Soggetto:
ID sicurezza: UTENTE-E4COHOO4\updater
Nome account: updater
Dominio account: UTENTE-E4COHOO4
ID accesso: 0xF2ECCFC
GUID accesso: {00000000-0000-0000-0000-000000000000}
Account di cui sono state utilizzate le credenziali:
Nome account: Administrator
Dominio account: UTENTE-E4COHOO4
GUID accesso: {00000000-0000-0000-0000-000000000000}
Server di destinazione:
Nome server di destinazione: RC-REMOTE.rc.local
Informazioni aggiuntive: RC-REMOTE.rc.local
Informazioni sul processo:
ID processo: 0x13c8
Nome processo: C:\Windows\victoria\svchost.exe
Informazioni di rete:
Indirizzo di rete: -
Porta: -
我发现了一个神秘的“C:\windows\victoria”文件夹,根据这个讨论(搜索 victoria),它是某种恶意软件。
您是否确认updater和updarer不是 Win 2012 上的默认帐户?
您的服务器上肯定有某种病毒/恶意软件。扫描整个网络以查找病毒,并可能重新安装服务器或从已知良好的备份中恢复它。