黑客攻击 - Windows服务器2003

Question

我在办公室PC上看到一些黑客攻击。上周五我的电脑突然重启两次，当我登录时，我的一些重要文件不在那里。刚删除。 所以我检查了事件查看器以查找有关此重新启动的原因。 我收到了这些日志，并在该日志中看到某人的PC名称。有人可以向我解释这一点吗？

谢谢！

---

Date:7/27/2012 Source:Security 
Time:2.35.26 PM Category:Account Logon 
Type:Success A Event ID:680 
User:MyPC/Administrator 
Computer: MyPC 
Description: 
    Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 
    Logon Account:Administrator 
    Source Workstation:OtherPC 
    Error Code:0x0 

---

Date:7/27/2012 Source:Security 
Time:2.35.26 PM Category:Logon/Logoff 
Type:Success A Event ID:576 
User:MyPC/Administrator 
Computer: MyPC 
Description: 
    Special privileges assigned to new logon: 
    User Name:Administrator 
    DOMAIN: MyPC 
    Logon ID: (0x0, 0x251E985) 
    Privileges:SeSecurityPrivilege 
    SeBackupPrivilege 
    ... 

---

Date:7/27/2012 Source:Security 
Time:2.35.26 PM Category:Logon/Logoff 
Type:Success A Event ID:540 
User:MyPC/Administrator 
Computer: MyPC 
Description: 
    Successful Network Logon: 
    User Name:Administrator 
    DOMAIN: MyPC 
    Logon ID: (0x0, 0x251E985) 
    Logon Type:3 
    Logon Process:NtLmSsp 
    Authentication Package:NTLM 
    Workstation Name:OtherPC 
    Logon GUID:- 
    Caller User Name:- 
    Caller Domain:- 
    Caller Logon ID:- 
    Caller Process ID:- 
    Transited services:- 
    Source Network Address:192.168.x.x 
    Source Port:0 

---

Date:7/27/2012 Source:Security 
Time:2.35.26 PM Category:Logon/Logoff 
Type:Success A Event ID:551 
User:MyPC/Administrator 
Computer: MyPC 
Description: 
    User initiated logoff: 
    User Name:Administrator 
    DOMAIN: MyPC 
    Logon ID: (0x0, 0x2059c) 

---

Answer 1

你有比陈其它任何方式修改这些日志将计算机名称命名为“MyPC”和“OtherPC”？例如，在事件查看器中，源应该是“安全”，而不是“Secirity”。这让我质疑这些日志的有效性。

在任何情况下，事件ID 540是一个远程连接到您的计算机，在这种情况下，从OtherPC。鉴于OtherPC的IP地址，它似乎在您的网络中。你有机会访问OtherPC吗？你可以给我们从OtherPC的事件查看器日志吗？

总而言之，这里没有什么看起来太乱了。第一个和最后一个日志是标准的登录和注销日志。第二个通常在登录日志之后。如果没有更多的信息，我们对第三个方面的了解会更多。