黑客攻击- Windows server 2003

Question

我在我的办公室电脑上看到了一些黑客企图。上周五，我的电脑突然两次重新启动，当我登录时，我的一些重要文件不在那里。刚刚删除了。因此，我检查了事件查看器，以找到重新启动的原因。我拿到了这些日志，我在日志上看到了某人的个人电脑名。有人能给我解释一下吗？

谢谢!

Date:7/27/2012   Source:Security
Time:2.35.26 PM Category:Account Logon
Type:Success A  Event ID:680
User:MyPC/Administrator
Computer: MyPC
Description:
  Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
  Logon Account:Administrator
  Source Workstation:OtherPC
  Error Code:0x0

Date:7/27/2012   Source:Security
Time:2.35.26 PM Category:Logon/Logoff
Type:Success A  Event ID:576
User:MyPC/Administrator
Computer: MyPC
Description:
   Special privileges assigned to new logon:
   User Name:Administrator
   DOMAIN: MyPC
   Logon ID: (0x0, 0x251E985)
   Privileges:SeSecurityPrivilege
   SeBackupPrivilege
   ...

Date:7/27/2012   Source:Security
Time:2.35.26 PM Category:Logon/Logoff
Type:Success A  Event ID:540
User:MyPC/Administrator
Computer: MyPC
Description:
   Successful Network Logon:
   User Name:Administrator
   DOMAIN: MyPC
   Logon ID: (0x0, 0x251E985)
   Logon Type:3
   Logon Process:NtLmSsp
   Authentication Package:NTLM
   Workstation Name:OtherPC
   Logon GUID:-
   Caller User Name:-
   Caller Domain:-
   Caller Logon ID:-
   Caller Process ID:-
   Transited services:-
   Source Network Address:192.168.x.x
   Source Port:0

Date:7/27/2012   Source:Security
Time:2.35.26 PM Category:Logon/Logoff
Type:Success A  Event ID:551
User:MyPC/Administrator
Computer: MyPC
Description:
   User initiated logoff:
   User Name:Administrator
   DOMAIN: MyPC
   Logon ID: (0x0, 0x2059c)

Answer 1

除了将计算机名称更改为"MyPC“和"OtherPC”之外，您是否以其他方式编辑了这些日志？例如，在事件查看器中，源应该是“安全”，而不是“特定”。这使我怀疑这些日志的有效性。

在任何情况下，事件ID 540都是从OtherPC连接到您的计算机的远程连接。鉴于其他IP的IP地址，它似乎在您的网络。你有OtherPC的权限吗？您能提供来自OtherPC的事件查看器日志吗？

总之，没有什么东西看上去太不正常了。第一个和最后一个日志是标准登录和注销日志。第二个比较常见的是登录日志。如果没有更多的信息，我们就不可能知道更多关于第三条的信息。