Foro de elhacker.net

Seguridad Informática => Seguridad => Mensaje iniciado por: vitorr en 27 Enero 2015, 00:46 am


Título: Estoy bajo amenaza?
Publicado por: vitorr en 27 Enero 2015, 00:46 am
Hola a tod@s.

Veran tengo un servidor con windows server activado ( no legalmente). Y ultimamente los usuarios me reportan errores de conexion a una aplicacion que esta en el server. He estado mirando el visor de sucesos y encuentro muchos intentos de acceso o al menos eso parecen, algo como lo siguiente:

visor de sucesos - registro de windows- seguridad.
Código:
 System 

  - Provider 

   [ Name]  Microsoft-Windows-Security-Auditing 
   [ Guid]  {54849625-5478-4994-a5ba-3e3b0328c30d} 
 
   EventID 4625 
 
   Version 0 
 
   Level 0 
 
   Task 12544 
 
   Opcode 0 
 
   Keywords 0x8010000000000000 
 
  - TimeCreated 

   [ SystemTime]  2015-01-26T21:03:06.415Z 
 
   EventRecordID 3297 
 
   Correlation 
 
  - Execution 

   [ ProcessID]  660 
   [ ThreadID]  756 
 
   Channel Security 
 
   Computer SERVERxxxxxx 
 
   Security 
 

- EventData 

  SubjectUserSid S-1-0-0 
  SubjectUserName - 
  SubjectDomainName - 
  SubjectLogonId 0x0 
  TargetUserSid S-1-0-0 
  TargetUserName administrator 
  TargetDomainName AIRESI 
  Status 0xc000006d 
  FailureReason %%2313 
  SubStatus 0xc0000064 
  LogonType 3 
  LogonProcessName NtLmSsp  
  AuthenticationPackageName NTLM 
  WorkstationName JULISSA 
  TransmittedServices - 
  LmPackageName - 
  KeyLength 0 
  ProcessId 0x0 
  ProcessName - 
  IpAddress 186.74.238.210 
  IpPort 3007



Los datos como la ip, el TargetDomainName y el WorkstationName cambian.

Por ejm:
ip                              WorkstationName
183.136.213.166   CHINA-CAD7F743A
186.215.149.6           EQUIPE

Tambien hay muchos eventos como:

visor de sucesos - registro de windows - sistema.

Código:
El sistema detectó que el adaptador de red Conexión de área local estaba conectado a la red y ha iniciado un funcionamiento normal.

En el server tengo el hamachi para el acceso remoto a la app, el team viewer y el dropbox es lo unico. Estoy pensando que quiza el hack para activar ilegalmente el winserver trajera algun troyano oculto que me quiera estar metiendo algun gol, lo malo es que no lo he hacktivado yo, ha sido otra persona y no encuentro la manera de identificar que proceso esta validando el windows como original. Tampoco tengo instalado algun antivirus ( me recomiendan alguno gratuito para servidor?).

Espero algun consejo, tip o de plano tambien me ignoren  ::) ::)

Salu2ts.

Título: Re: Estoy bajo amenaza?
Publicado por: r32 en 28 Enero 2015, 00:01 am
Hola pues puede ser que el activador trajese algun regalo.
Revisa tu trafico de red, eso te puede dar pistas.

Antivirus gratuitos para servers:

http://www.digital-defender.com/antivirus-server/

https://antivirus.comodo.com/download/thank-you.php?prod=cav-free&af=3269&crc=65&track=3269&key5sk1=2090ff0471a7cf5bc964f974e4673d3240495c20

http://sourceforge.net/projects/moonav/

Echales un vistazo a ver si te valen...

Saludos.


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines