Título: Intrusion en pc Publicado por: sqbyduu en 22 Marzo 2015, 16:18 pm Buenos días necesito si alguien me puede dar una mano. En el Event Log de windows tengo un inicio de sesión en un horario donde yo no estaba presente en mi pc.
El evento es el siguiente Se inició sesión correctamente en una cuenta. Sujeto: Id. de seguridad: SYSTEM Nombre de cuenta: FILESERVER$ Dominio de cuenta: SRV Id. de inicio de sesión: 0x3e7 Tipo de inicio de sesión: 5 Nuevo inicio de sesión: Id. de seguridad: SYSTEM Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000} Información de proceso: Id. de proceso: 0x23c Nombre de proceso: C:\Windows\System32\services.exe Información de red: Nombre de estación de trabajo: Dirección de red de origen: - Puerto de origen: - Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (sólo NTLM): - Longitud de clave: 0 ---------------------------------------------------------------------------------- Tambien encontre otro proceso que dice Se asignaron privilegios especiales a un nuevo inicio de sesión. Sujeto: Id. de seguridad: SYSTEM Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3e7 Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege ------------------------------------------------------------------------- Por otro lado en esta pc tengo un servidor FTP andando con el programa 3CDeamon el cual me arroja el siguiente log start time Peer Byte Status Martes 22, 2015 06.13.24 93.174.XXX.XXX 0 Session closed by peer --------------------------------------------------------------------------------------- La pc esta recien formateada los unicos programas que tiene instalados son Office 2010 Vmware Player Vmware converter Servidor FTP 3CDeamon Servidor FreeSSH GFI Languard WinRar Adobe Reader Avast --------------------------------------------------------------------------------------- Estuve buscando en internet y algunos dicen que esto procesos lo utilizan los servicios de windows pero no me queda claro si verdaderamente tengo alguien merido en mi pc o solo es un proceso generado por un servicio automatico de windows o de algun programa instalado. Mi pregunta es, tengo alguien metido en mi pc? y si es asi como puedo hacer para sacarlo. Por favor necesitaria un mano ya que no tengo mucha experiencia en esto. Desde ya muchas gracias Título: Re: Intrusion en pc Publicado por: Mario Olivera en 22 Marzo 2015, 19:59 pm Y mira que tipo de procesos tenes, los de windows analizalos y los otros analizalos y buscalos en google si es que tenes un proceso que no sabes de que es. Saludos
Título: Re: Intrusion en pc Publicado por: DavEmmanuel en 23 Marzo 2015, 16:09 pm Aparentemente fue el propio sistema, pero si la PC estaba apagada, no lo veo posible. Ahora, suponiendo que estaba prendida, es posible que sea el sistema, o una intrusion (no puedo asegurarlo). Lo que me preocupa es la asignacion de "privilegios especiales". No hay que ponerse paranoico sin estar seguros de lo que paso, pero como prevencion (suponiendo una posible intrusion) recomendaria restaurar el sistema, y como ya te recomendaron, controla los procesos.
Título: Re: Intrusion en pc Publicado por: sqbyduu en 29 Marzo 2015, 22:13 pm Muchas gracias por las respuestas.
Creo que mi problema principal es que no se como controlar los procesos, no entiendo bien lo que me indican y no puedo llegar a determinar si fue una intrusion o no. Esta semana estuve leyendo bastante sobre como leer el visor de sucesos de windows pero la verdad no encontre nada claro para mi. DavEmmanuel hice lo que me pediste de restaurar el sistema y me volvio a pasar lo mismo, aparecieron nuevamente los mismos procesos. Por otro lado lei que lo primero que hay que hacer para saber si hay una intrusion es utilizar el comando ntbstat -s desde el cmd para saber si hay alguien conectado y el comando net share para ver que carpetas tenemos compartidas. El comando ntbstat -s me arrojo que no habia conexiones remotas pero el comando net share me arrojo lo siguiente ADMIN$ C:\Windows Admin remota C$ C:\ Recurso predeterminado D$ D:\ Recurso predeterminado E$ E:\ Recurso predeterminado F$ F:\ Recurso predeterminado IPC$ IPC remota segui leyendo y al parecer admin$ y ipc$ se utilizan como unas de las primeras tecnicas de ataque cuando se tiene acceso a una red lan, lo cual me parece extraño porque en mi router wifi no veo ningun cliente dhcp distinto a mi pc. Lo que no encontre en ningun lado hasta el momento es si estos recursos compartidos vienen habilitados desde el momento cero en la instalacion de un windows o si alguien me los activo posteriormente. Desde ya muchas gracias por su tiempo e ire posteando las novedades por si a alguien mas le sirve Salu2 |