请高手看一下这几条日志

显示全部楼层 · 发表于 2008-2-26 13:04:53

请高手帮我看一下下面这几条日志有没有什么不对的，具体是什么意思。
说明：我是在windows 2003 server服务器上使用麦咖啡监控，出现这几条记录日志的时候刚好我服务器上一个客户的网站就打不开了，昨天25日就是在16点的时候这个客户打电话来说网站打不开了，昨天因为我没在意，今天26日早上刚才12：30左右他又打电话来说网站打不开了，我就登陆服务器看，一看麦咖啡红了，打开日志，发现刚好他网站打不开的时间和这个日志是吻合的，所以请高手分析看看这日志报的是什么意思。

2008-2-25 16:08:50 已由访问保护规则禁止  NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\NETSH.EXE 用户定义的规则:A42 禁止未授权程序调用net.exe/netsetup.exe/netdde.exe/netsh.exe 已阻止的操作: 执行
2008-2-25 16:09:08 已由访问保护规则禁止  NT AUTHORITY\SYSTEM C:\WINDOWS\system32\lsass.exe \REGISTRY\MACHINE\System\CurrentControlSet\Control\Lsa 防病毒标准保护:禁止更改用户权限策略已阻止的操作: 创建
2008-2-26 11:29:41 将由访问保护规则 (当前不强制执行规则) 禁止  NT AUTHORITY\SYSTEM C:\WINDOWS\system32\inetsrv\inetinfo.exe \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\MSFtpsvc\Parameters\Virtual Roots 通用最大保护:禁止将程序注册为服务已阻止的操作: 创建
2008-2-26 12:34:25 已由访问保护规则禁止  NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\NETSH.EXE 用户定义的规则:A42 禁止未授权程序调用net.exe/netsetup.exe/netdde.exe/netsh.exe 已阻止的操作: 执行
2008-2-26 12:34:31 已由访问保护规则禁止  NT AUTHORITY\SYSTEM C:\WINDOWS\system32\lsass.exe \REGISTRY\MACHINE\System\CurrentControlSet\Control\Lsa 防病毒标准保护:禁止更改用户权限策略已阻止的操作: 创建

显示全部楼层 · 发表于 2008-2-26 15:40:09

LZ分享一下你的规则吧

你客户的网站是不是有被入侵了
表面上看
\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\MSFtpsvc\Parameters\Virtual Roots ：想建立FTP服务
C:\WINDOWS\System32\NETSH.EXE：自定义TCP/IP设置
\REGISTRY\MACHINE\System\CurrentControlSet\Control\Lsa：对空连接获取帐号信息进行设置
因为看不到具体的修改值和命令参数，所以只能猜个大概

[ 本帖最后由 gxd 于 2008-2-26 15:42 编辑 ]

显示全部楼层 · 发表于 2008-2-26 16:59:12

原帖由 gxd 于 2008-2-26 15:40 发表
LZ分享一下你的规则吧
你客户的网站是不是有被入侵了
表面上看
\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\MSFtpsvc\Parameters\Virtual Roots ：想建立FTP服务
C:\WINDOWS\System32\NETSH.EXE： ...

应该就是被攻击了，同一台服务器上的其他网站都好好的，就是只有他的打不开，打不开的时间刚好就是这些日志上的时间。我就是想请人帮我分析下那些日志说明的是什么问题。

显示全部楼层 · 发表于 2008-2-28 14:11:03

请达人再帮忙看看

显示全部楼层 · 发表于 2008-2-28 21:04:50

没有人来帮我看了吗？

[求助] 请高手看一下这几条日志