帖子主题: [求助]服务器被人用CAIN工具注入并克隆我的操作系统

我在TCP/IP筛选中只开放了80,3389,1433端口，并安装了win2003内置的防火墙,并在防火墙中开放了80,3389,1433端口，每次登录系统后，在安全性日志中看到以下事件：
1、已经创建新的过程:
        新的进程 ID:        3884
        映像文件名:        C:\Program Files\Network Associates\VirusScan\scan32.exe
        创建者进程 ID:        1216
        用户名:        KONGE$
        域:                WORKGROUP
        登录 ID:                (0x0,0x3E7)


有关更多信息，请参阅在http://go.microsoft.com/fwlink/events.asp 的帮助和支持
2、调用的特许服务:
        服务器:                NT Local Security Authority / Authentication Service
        服务:                LsaRegisterLogonProcess()
        主要用户名:        KONGE$
        主要域:        WORKGROUP
        主要登录 ID:        (0x0,0x3E7)
        客户端用户名:        KONGE$
        客户端域:        WORKGROUP
        客户端登录 ID:        (0x0,0x3E7)
        特权:        SeTcbPrivilege

有关更多信息，请参阅在http://go.microsoft.com/fwlink/events.asp 的帮助和支持
3、用户注销:
        用户名:        IUSR_KONGE
        域:                KONGE
        登录 ID:                (0x0,0x1444323)
        登录类型:        8
4、已经退出某过程:
        进程 ID:        2860
        图像文件名:        C:\WINDOWS\system32\inetsrv\w3wp.exe
        用户名:        NETWORK SERVICE
        域:                NT AUTHORITY
        登录 ID:                (0x0,0x3E4)


有关更多信息，请参阅在http://go.microsoft.com/fwlink/events.asp 的帮助和支持
5、已经创建新的过程:
        新的进程 ID:        836
        映像文件名:        C:\WINDOWS\system32\inetsrv\w3wp.exe
        创建者进程 ID:        1524
        用户名:        KONGE$
        域:                WORKGROUP
        登录 ID:                (0x0,0x3E7)


有关更多信息，请参阅在http://go.microsoft.com/fwlink/events.asp 的帮助和支持
6、分派给进程一个主令牌。
分配进程信息:
        进程 ID:        1524
        图像文件名:        C:\WINDOWS\system32\svchost.exe
        主用户名:        KONGE$
        主域:        WORKGROUP
        主登录 ID:        (0x0,0x3E7)
新进程信息:
        进程 ID:        836
        图像文件名:        C:\WINDOWS\system32\inetsrv\w3wp.exe
        目标用户名:        NETWORK SERVICE
        目标域:        NT AUTHORITY
        目标登录 ID:        (0x0,0x3E4)


有关更多信息，请参阅在http://go.microsoft.com/fwlink/events.asp 的帮助和支持
7、尝试登录的用户:         MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户:          IUSR_KONGE
源工作站:         KONGE
错误代码:         0x0


有关更多信息，请参阅在http://go.microsoft.com/fwlink/events.asp 的帮助和支持
8、使用明确凭据的登录尝试:
登录的用户:
        用户名:        NETWORK SERVICE
        域:                NT AUTHORITY
        登录 ID:                (0x0,0x3E4)
        登录 GUID:        -
凭据被使用的用户:
        目标用户名:        IUSR_KONGE
        目标域:        KONGE
        目标登录 GUID: -

目标服务器名称:        localhost
目标服务器信息:        localhost
调用方进程 ID:        836
源网络地址:        -
源端口:        -


有关更多信息，请参阅在http://go.microsoft.com/fwlink/events.asp 的帮助和支持
9、成功的网络登录:
        用户名:        IUSR_KONGE
        域:                KONGE
        登录 ID:                (0x0,0x15184BF)
        登录类型:        8
        登录过程:        Advapi  
        身份验证数据包:        Negotiate
        工作站名:        KONGE
        登录 GUID:        -
        调用方用户名:        NETWORK SERVICE
        调用方域:        NT AUTHORITY
        调用方登录 ID:        (0x0,0x3E4)
        调用方进程 ID: 836
        传递服务: -
        源网络地址:        -
        源端口:        -


有关更多信息，请参阅在http://go.microsoft.com/fwlink/events.asp 的帮助和支持

请问一下，我怎样防范他再次进来，谢谢合作

CAIN好像不是注射工具吧
嗅探用的吧

如果他进了你的服务器 应该是嗅探到了你的密码
装ARP防火墙，试下！

我已经安装了360安全卫士防火墙了，可还是不行。。

版主大人，救救我吧

很简单的
135 1433修改下端口
cain 只能记录下你的帐户和密码
还有CAIN这是破解密码的工具

RE：很简单的
135 1433修改下端口
cain 只能记录下你的帐户和密码
还有CAIN这是破解密码的工具

请问怎么修改135和1433端口呢？我是新手，请多多指教。。。谢谢合作

求助

360的ARP防火墙靠不住

anti-arp
用这个！

刚才登录服务器时,他又用cain工具登录进来,并把cain工具安装在C:\all user文件夹下,请大家帮帮我吧..