恩山无线论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 211|回复: 0

路由器的登录连接,把我远程踢了

[复制链接]
发表于 2022-7-18 00:47 | 显示全部楼层 |阅读模式
本帖最后由 930614591 于 2022-7-18 00:54 编辑

两次远程登陆被踢,查了查日志,来自路由器的登陆x2,移动大内网,小宛儿的网盘下的包,如有错误请指正,话不多说看日志,至于密码是怎么被猜到的,是因为账号密码都是li




日志名称:          Security
来源:            Microsoft-Windows-Security-Auditing
日期:            2022/7/17 22:56:29
事件 ID:         4624
任务类别:          Logon
级别:            信息
关键字:           审核成功
用户:            暂缺
计算机:           DESKTOP-7OE6NQM
描述:
已成功登录帐户。

使用者:
        安全 ID:                NULL SID
        帐户名称:                -
        帐户域:                -
        登录 ID:                0x0

登录信息:
        登录类型:                3
        受限制的管理员模式:        -
        虚拟帐户:                否
        提升的令牌:                否

模拟级别:                模拟

新登录:
        安全 ID:                DESKTOP-7OE6NQM\li
        帐户名称:                li
        帐户域:                DESKTOP-7OE6NQM
        登录 ID:                0x7519B1D
        链接的登录 ID:                0x0
        网络帐户名称:        -
        网络帐户域:        -
        登录 GUID:                {00000000-0000-0000-0000-000000000000}

进程信息:
        进程 ID:                0x0
        进程名称:                -

网络信息:
        工作站名称:        -
        源网络地址:        file:///C:\Users\93061\AppData\Roaming\Tencent\QQTempSys\%W@GJ$ACOF(TYDYECOKVDYB.png192.168.5.1
        源端口:                34280

详细的身份验证信息:
        登录进程:                NtLmSsp
        身份验证数据包:        NTLM
        传递的服务:        -
        数据包名(仅限 NTLM):        NTLM V2
        密钥长度:                128

创建登录会话时,将在被访问的计算机上生成此事件。

“使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

“登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。

“新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。

“网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。

“模拟级别”字段指示登录会话中的进程可以模拟到的程度。

“身份验证信息”字段提供有关此特定登录请求的详细信息。
        - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。
        -“传递的服务”指示哪些中间服务参与了此登录请求。
        -“数据包名”指示在 NTLM 协议中使用了哪些子协议。
        -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。
事件 Xml:
<Event xmlns="[img]file:///C:\Users\93061\AppData\Roaming\Tencent\QQTempSys\[5UQ[BL(6~BS2JV6W}N6[%S.png[/img]http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
    <EventID>4624</EventID>
    <Version>2</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8020000000000000</Keywords>
    <TimeCreated SystemTime="2022-07-17T14:56:29.9889163Z" />
    <EventRecordID>62847</EventRecordID>
    <Correlation ActivityID="{675c2223-983c-0002-ca22-5c673c98d801}" />
    <Execution ProcessID="928" ThreadID="5884" />
    <Channel>Security</Channel>
    <Computer>DESKTOP-7OE6NQM</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="SubjectUserSid">S-1-0-0</Data>
    <Data Name="SubjectUserName">-</Data>
    <Data Name="SubjectDomainName">-</Data>
    <Data Name="SubjectLogonId">0x0</Data>
    <Data Name="TargetUserSid">S-1-5-21-3100190810-1022731172-547111319-1001</Data>
    <Data Name="TargetUserName">li</Data>
    <Data Name="TargetDomainName">DESKTOP-7OE6NQM</Data>
    <Data Name="TargetLogonId">0x7519b1d</Data>
    <Data Name="LogonType">3</Data>
    <Data Name="LogonProcessName">NtLmSsp </Data>
    <Data Name="AuthenticationPackageName">NTLM</Data>
    <Data Name="WorkstationName">-</Data>
    <Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
    <Data Name="TransmittedServices">-</Data>
    <Data Name="LmPackageName">NTLM V2</Data>
    <Data Name="KeyLength">128</Data>
    <Data Name="ProcessId">0x0</Data>
    <Data Name="ProcessName">-</Data>
    <Data Name="IpAddress">file:///C:\Users\93061\AppData\Roaming\Tencent\QQTempSys\%W@GJ$ACOF(TYDYECOKVDYB.png192.168.5.1</Data>
    <Data Name="IpPort">34280</Data>
    <Data Name="ImpersonationLevel">%%1833</Data>
    <Data Name="RestrictedAdminMode">-</Data>
    <Data Name="TargetOutboundUserName">-</Data>
    <Data Name="TargetOutboundDomainName">-</Data>
    <Data Name="VirtualAccount">%%1843</Data>
    <Data Name="TargetLinkedLogonId">0x0</Data>
    <Data Name="ElevatedToken">%%1843</Data>
  </EventData>
</Event>



日志名称:          Security
来源:            Microsoft-Windows-Security-Auditing
日期:            2022/7/17 23:12:05
事件 ID:         4624
任务类别:          Logon
级别:            信息
关键字:           审核成功
用户:            暂缺
计算机:           DESKTOP-7OE6NQM
描述:
已成功登录帐户。

使用者:
        安全 ID:                NULL SID
        帐户名称:                -
        帐户域:                -
        登录 ID:                0x0

登录信息:
        登录类型:                3
        受限制的管理员模式:        -
        虚拟帐户:                否
        提升的令牌:                否

模拟级别:                模拟

新登录:
        安全 ID:                DESKTOP-7OE6NQM\li
        帐户名称:                li
        帐户域:                DESKTOP-7OE6NQM
        登录 ID:                0x755BC94
        链接的登录 ID:                0x0
        网络帐户名称:        -
        网络帐户域:        -
        登录 GUID:                {00000000-0000-0000-0000-000000000000}

进程信息:
        进程 ID:                0x0
        进程名称:                -

网络信息:
        工作站名称:        -
        源网络地址:        file:///C:\Users\93061\AppData\Roaming\Tencent\QQTempSys\%W@GJ$ACOF(TYDYECOKVDYB.png192.168.5.1
        源端口:                56758

详细的身份验证信息:
        登录进程:                NtLmSsp
        身份验证数据包:        NTLM
        传递的服务:        -
        数据包名(仅限 NTLM):        NTLM V2
        密钥长度:                128

创建登录会话时,将在被访问的计算机上生成此事件。

“使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

“登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。

“新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。

“网络”字段指示远程登录请求源自哪里。“工作站名称”并非始终可用,并且在某些情况下可能会留空。

“模拟级别”字段指示登录会话中的进程可以模拟到的程度。

“身份验证信息”字段提供有关此特定登录请求的详细信息。
        - “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。
        -“传递的服务”指示哪些中间服务参与了此登录请求。
        -“数据包名”指示在 NTLM 协议中使用了哪些子协议。
        -“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。
事件 Xml:
<Event xmlns="[img]file:///C:\Users\93061\AppData\Roaming\Tencent\QQTempSys\[5UQ[BL(6~BS2JV6W}N6[%S.png[/img]http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
    <EventID>4624</EventID>
    <Version>2</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8020000000000000</Keywords>
    <TimeCreated SystemTime="2022-07-17T15:12:05.4280677Z" />
    <EventRecordID>62878</EventRecordID>
    <Correlation ActivityID="{675c2223-983c-0002-ca22-5c673c98d801}" />
    <Execution ProcessID="928" ThreadID="5776" />
    <Channel>Security</Channel>
    <Computer>DESKTOP-7OE6NQM</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="SubjectUserSid">S-1-0-0</Data>
    <Data Name="SubjectUserName">-</Data>
    <Data Name="SubjectDomainName">-</Data>
    <Data Name="SubjectLogonId">0x0</Data>
    <Data Name="TargetUserSid">S-1-5-21-3100190810-1022731172-547111319-1001</Data>
    <Data Name="TargetUserName">li</Data>
    <Data Name="TargetDomainName">DESKTOP-7OE6NQM</Data>
    <Data Name="TargetLogonId">0x755bc94</Data>
    <Data Name="LogonType">3</Data>
    <Data Name="LogonProcessName">NtLmSsp </Data>
    <Data Name="AuthenticationPackageName">NTLM</Data>
    <Data Name="WorkstationName">-</Data>
    <Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
    <Data Name="TransmittedServices">-</Data>
    <Data Name="LmPackageName">NTLM V2</Data>
    <Data Name="KeyLength">128</Data>
    <Data Name="ProcessId">0x0</Data>
    <Data Name="ProcessName">-</Data>
    <Data Name="IpAddress">file:///C:\Users\93061\AppData\Roaming\Tencent\QQTempSys\%W@GJ$ACOF(TYDYECOKVDYB.png192.168.5.1</Data>
    <Data Name="IpPort">56758</Data>
    <Data Name="ImpersonationLevel">%%1833</Data>
    <Data Name="RestrictedAdminMode">-</Data>
    <Data Name="TargetOutboundUserName">-</Data>
    <Data Name="TargetOutboundDomainName">-</Data>
    <Data Name="VirtualAccount">%%1843</Data>
    <Data Name="TargetLinkedLogonId">0x0</Data>
    <Data Name="ElevatedToken">%%1843</Data>
  </EventData>
</Event>

我的恩山、我的无线 The best wifi forum is right here.
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|小黑屋|Archiver|恩山无线论坛(常州市恩山计算机开发有限公司版权所有) ( 苏ICP备05084872号 )|网站地图

GMT+8, 2022-8-8 22:21

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

| 江苏省互联网有害信息举报中心 信箱:js12377@jschina.com.cn 举报电话:025-88802724 | | 本站不良内容举报信箱:68610888@qq.com 举报电话:0519-85560759 |
快速回复 返回顶部 返回列表