黑客攻擊 - Windows服務器2003

Question

我在辦公室PC上看到一些黑客攻擊。上週五我的電腦突然重啓兩次，當我登錄時，我的一些重要文件不在那裏。剛刪除。 所以我檢查了事件查看器以查找有關此重新啓動的原因。 我收到了這些日誌，並在該日誌中看到某人的PC名稱。有人可以向我解釋這一點嗎？

謝謝！

---

Date:7/27/2012 Source:Security 
Time:2.35.26 PM Category:Account Logon 
Type:Success A Event ID:680 
User:MyPC/Administrator 
Computer: MyPC 
Description: 
    Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 
    Logon Account:Administrator 
    Source Workstation:OtherPC 
    Error Code:0x0 

---

Date:7/27/2012 Source:Security 
Time:2.35.26 PM Category:Logon/Logoff 
Type:Success A Event ID:576 
User:MyPC/Administrator 
Computer: MyPC 
Description: 
    Special privileges assigned to new logon: 
    User Name:Administrator 
    DOMAIN: MyPC 
    Logon ID: (0x0, 0x251E985) 
    Privileges:SeSecurityPrivilege 
    SeBackupPrivilege 
    ... 

---

Date:7/27/2012 Source:Security 
Time:2.35.26 PM Category:Logon/Logoff 
Type:Success A Event ID:540 
User:MyPC/Administrator 
Computer: MyPC 
Description: 
    Successful Network Logon: 
    User Name:Administrator 
    DOMAIN: MyPC 
    Logon ID: (0x0, 0x251E985) 
    Logon Type:3 
    Logon Process:NtLmSsp 
    Authentication Package:NTLM 
    Workstation Name:OtherPC 
    Logon GUID:- 
    Caller User Name:- 
    Caller Domain:- 
    Caller Logon ID:- 
    Caller Process ID:- 
    Transited services:- 
    Source Network Address:192.168.x.x 
    Source Port:0 

---

Date:7/27/2012 Source:Security 
Time:2.35.26 PM Category:Logon/Logoff 
Type:Success A Event ID:551 
User:MyPC/Administrator 
Computer: MyPC 
Description: 
    User initiated logoff: 
    User Name:Administrator 
    DOMAIN: MyPC 
    Logon ID: (0x0, 0x2059c) 

---

Answer 1

你有比陳其它任何方式修改這些日誌將計算機名稱命名爲「MyPC」和「OtherPC」？例如，在事件查看器中，源應該是「安全」，而不是「Secirity」。這讓我質疑這些日誌的有效性。

在任何情況下，事件ID 540是一個遠程連接到您的計算機，在這種情況下，從OtherPC。鑑於OtherPC的IP地址，它似乎在您的網絡中。你有機會訪問OtherPC嗎？你可以給我們從OtherPC的事件查看器日誌嗎？

總而言之，這裏沒有什麼看起來太亂了。第一個和最後一個日誌是標準的登錄和註銷日誌。第二個通常在登錄日誌之後。如果沒有更多的信息，我們對第三個方面的瞭解會更多。