Título: He sufrido un ataque? Publicado por: polmadur en 3 Diciembre 2014, 09:36 am Hola buenos días, esta mañana me han dado un aviso que me está dejando muy intranquilo. En un servidor no se podía acceder a Navision, investigando he visto que se me habían borrado casi todos los archivos de la carpeta donde está instalada! Me ha pasado lo mismo con Firefox y con un programa de acceso a La Caixa, directamente han desaparecido todos los archivos instalados.
Llevo un rato investigando el visor de sucesos de mi servidor y me sale muchos eventos de Fallo de Auditoria al intentar iniciar sesión como Administrador, esto es lo que me sale. "Error de una cuenta al iniciar sesión. Sujeto: Id. de seguridad: SYSTEM Nombre de cuenta: SRV-CETAPUNTS$ Dominio de cuenta: D-CETAPUNTS Id. de inicio de sesión: 0x3e7 Tipo de inicio de sesión: 10 Cuenta con error de inicio de sesión: Id. de seguridad: NULL SID Nombre de cuenta: administrator Dominio de cuenta: SRV-CETAPUNTS Información de error: Motivo del error: Nombre de usuario desconocido o contraseña incorrecta Estado: 0xc000006d Subestado: 0xc0000064 Información de proceso: Id. de proceso del autor de la llamada: 0x3314 Nombre de proceso del autor de la llamada: C:\Windows\System32\winlogon.exe Información de red: Nombre de estación de trabajo: SRV-CETAPUNTS Dirección de red de origen: 202.185.4.195 Puerto de origen: 1088 Información de autenticación detallada: Proceso de inicio de sesión: User32 Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (sólo NTLM): - Longitud de clave: 0 " Veo una IP que desconozco, puede ser el foco? Y como es posible si constantemente pone que no se ha acertado con el usuario y contraseña? O no tiene nada que ver? Muchas gracias. Título: Re: He sufrido un ataque? Publicado por: r32 en 4 Diciembre 2014, 01:31 am Si repartes recursos en red puede ser se te hayan colado por ahí (no lo se seguro, pregunto), aquí tienes info sobre la IP de prígen:
http://whois.domaintools.com/202.185.4.195 Intenta restaurar sistema o si tienes algun backup, pero antes asegurate tener la máquina limpia. Puedes subir un log de reporte y le echamos un vistao o tu por tu cuenta pasar algunas herramientas a ver si encuentran algun foco de infección. Aquí tienes alguna que te pueden servir: https://foro.elhacker.net/seguridad/guia_rapida_para_descarga_de_herramientas_gratuitas_de_seguridad_y_desinfeccion-t382090.0.html Saludos. Título: Re: He sufrido un ataque? Publicado por: polmadur en 4 Diciembre 2014, 08:43 am Ayer pasé mi antivirus Nod32 no detectó nada y pasé el malwarebytes también, esto me salió.
"Malwarebytes Anti-Malware www.malwarebytes.org Scan Date: 03/12/2014 Scan Time: 11:43:36 Logfile: mal.txt Administrator: Yes Version: 2.00.3.1025 Malware Database: v2014.12.03.04 Rootkit Database: v2014.12.02.02 License: Free Malware Protection: Disabled Malicious Website Protection: Disabled Self-protection: Disabled OS: Windows Server 2008 R2 Service Pack 1 CPU: x64 File System: NTFS User: administrador Scan Type: Custom Scan Result: Completed Objects Scanned: 966976 Time Elapsed: 2 hr, 9 min, 21 sec Memory: Enabled Startup: Enabled Filesystem: Enabled Archives: Enabled Rootkits: Enabled Heuristics: Enabled PUP: Enabled PUM: Enabled Processes: 0 (No malicious items detected) Modules: 0 (No malicious items detected) Registry Keys: 0 (No malicious items detected) Registry Values: 0 (No malicious items detected) Registry Data: 0 (No malicious items detected) Folders: 0 (No malicious items detected) Files: 4 PUP.Optional.SupTab.A, E:\USUARIOS\merche\AdwCleaner\Quarantine\C\Program Files (x86)\SupTab\SupTab.dll.vir, Quarantined, [f11d8ed02c5045f10b8ff63f14ec8b75], PUP.Optional.IePluginService.A, E:\USUARIOS\merche\AdwCleaner\Quarantine\C\ProgramData\IePluginService\PluginService.exe.vir, Quarantined, [1bf383db205cf83e36fa4f237a87a25e], PUP.Optional.IePluginService.A, E:\USUARIOS\merche\AdwCleaner\Quarantine\C\ProgramData\IePluginServices\PluginService.exe.vir, Quarantined, [f11df46ad3a9310531ffb0c20bf644bc], PUP.Optional.WpManager, E:\USUARIOS\merche\AdwCleaner\Quarantine\C\ProgramData\WPM\wprotectmanager.exe.vir, Quarantined, [ed21acb235473303be1ea0dc39c88878], Physical Sectors: 0 (No malicious items detected) (end)" |