elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Sigue las noticias más importantes de seguridad informática en el Twitter! de elhacker.NET


  Mostrar Mensajes
Páginas: [1]
1  Seguridad Informática / Seguridad / Re: Ayuda - Se asignaron privilegios especiales a un nuevo inicio de sesión en: 18 Marzo 2017, 15:14 pm
Muchas gracias por vuestros mensajes!!
Lo probaré y os cuento :)
2  Seguridad Informática / Seguridad / Re: Ayuda - Se asignaron privilegios especiales a un nuevo inicio de sesión en: 5 Marzo 2017, 11:42 am
Muchas gracias por tu respuesta, El_Andaluz. Pensé que formatear lo arreglaría, qué malo es no saber de estas cosas.

Lo primero que pensé fue que alguien de mi familia se había metido en mis cuentas, pero me aseguré y no lo han hecho.

A pesar de tener el ordenador apagado y sin conexión a Internet, me siguen saliendo mensajes como este:

Se ha realizado un intento de consultar la existencia de una contraseña en blanco para una cuenta.

Firmante:
   
Información adicional:
   Estación de trabajo del llamador:   WIN-C5NREP2TJ3S
   Nombre de la cuenta de destino:   Administrador
   Dominio de la cuenta de destino:   DESKTOP-86FUD2L


He cambiado las contraseñas, aunque sigo pensando que pueden estar dentro del ordenador, no sé cómo.


Muchas gracias


3  Seguridad Informática / Seguridad / Re: Ayuda - Se asignaron privilegios especiales a un nuevo inicio de sesión en: 5 Marzo 2017, 10:58 am
Hola de nuevo, sé que no tengo ni idea de estas cosas, por eso pregunto aquí y agradezco a los que me contestáis.

Alguien se ha metido en mi cuenta de Twitter (me ha saltado un aviso a mi correo) y también en mi Whatsapp Web. Han asignado privilegios y nombres de usuarios. Esto es lo que pone en los logs:

Esto es del 4 de marzo, sin yo haber encendido el ordenador en ningún momento:

Se enumeró la pertenencia a grupos locales con seguridad habilitada.

Grupo:
   Id. de seguridad:      BUILTIN\Administradores
   Nombre de grupo:      Administradores
   Dominio de grupo:      Builtin

Información de proceso:
   Id. de proceso:      0x730
   Nombre de proceso:      C:\Windows\System32\VSSVC.exe



Se enumeró la pertenencia a grupos locales con seguridad habilitada.

Grupo:
   Id. de seguridad:      BUILTIN\Administradores
   Nombre de grupo:      Administradores
   Dominio de grupo:      Builtin

Información de proceso:
   Id. de proceso:      0x1de8
   Nombre de proceso:      C:\Windows\System32\SrTasks.exe




Y esto es de esta mañana, dos horas antes de haber encendido el ordenador:

Se enumeró la pertenencia a grupos locales con seguridad habilitada.

Grupo:
   Id. de seguridad:      BUILTIN\Administradores
   Nombre de grupo:      Administradores
   Dominio de grupo:      Builtin

Información de proceso:
   Id. de proceso:      0x410
   Nombre de proceso:      C:\Windows\System32\svchost.exe


Se intentó iniciar sesión con credenciales explícitas.

Servidor de destino:
   Nombre de servidor de destino:   localhost
   Información adicional:   localhost

Información de proceso:
   Id. de proceso:   0x410
   Nombre de proceso:      C:\Windows\System32\svchost.exe

Información de red:
   Dirección de red:   127.0.0.1
   Puerto:         0

Este evento se genera cuando un proceso intenta iniciar sesión en una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuraciones de tipo de lote como tareas programadas, o cuando se usa el comando RUNAS.




Se inició sesión correctamente en una cuenta.

Información de inicio de sesión:
   Tipo de inicio de sesión:      2
   Modo de administrador restringido:   -
   Cuenta virtual:      No
   Token elevado:      Sí

Nivel de suplantación:      Suplantación

Información de proceso:
   Id. de proceso:      0x410
   Nombre de proceso:      C:\Windows\System32\svchost.exe

Información de red:
   Nombre de estación de trabajo:   DESKTOP-86FUD2L
   Dirección de red de origen:   127.0.0.1
   Puerto de origen:      0

Información de autenticación detallada:
   Proceso de inicio de sesión:      User32
   Paquete de autenticación:   Negotiate
   Servicios transitados:   -
   Nombre de paquete (solo NTLM):   -
   Longitud de clave:      0

Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso.

Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe.

El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red).

Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión.

Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos.

El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar.

Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica.
   - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC.
   - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión.
   - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM.
   - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión.



Se asignaron privilegios especiales a un nuevo inicio de sesión.


Privilegios:      SeSecurityPrivilege
         SeTakeOwnershipPrivilege
         SeLoadDriverPrivilege
         SeBackupPrivilege
         SeRestorePrivilege
         SeDebugPrivilege
         SeSystemEnvironmentPrivilege
         SeImpersonatePrivilege
         SeDelegateSessionUserImpersonatePrivilege


Por lo poco o nada que sé, he leído "suplantación", "impersonateprivilege", "svchost.exe" (que leí hace un tiempo que podía ser malicioso haciéndose pasar por algo de Windows) y "se intentó iniciar con credenciales explícitas".

Por favor, si alguien me puede decir si esto tiene que ver con hackear o no, se lo agradecería muchísimo. Sobre todo, de verdad, recalco que me han saltado dos avisos: que alguien se había metido en mi Twitter desde Thousand Oaks, CA (eso ponía en la IP) y ayer me llegó un mensaje de que alguien se había conectado a mi Whatsapp Web (yo no había sido).


Gracias de antemano.
4  Seguridad Informática / Seguridad / Re: Ayuda - Se asignaron privilegios especiales a un nuevo inicio de sesión en: 6 Diciembre 2016, 11:51 am
Muchas gracias por tu respuesta, El_Andaluz. Pensé que formatear lo arreglaría, qué malo es no saber de estas cosas.

Lo primero que pensé fue que alguien de mi familia se había metido en mis cuentas, pero me aseguré y no lo han hecho.

A pesar de tener el ordenador apagado y sin conexión a Internet, me siguen saliendo mensajes como este:

Se ha realizado un intento de consultar la existencia de una contraseña en blanco para una cuenta.

Firmante:
   Id. de seguridad:      DESKTOP-86FUD2L\Mariola
   Nombre de la cuenta:      Mariola
   Dominio de la cuenta:      DESKTOP-86FUD2L
   Id. de inicio de sesión:      0xD389A

Información adicional:
   Estación de trabajo del llamador:   WIN-C5NREP2TJ3S
   Nombre de la cuenta de destino:   Administrador
   Dominio de la cuenta de destino:   DESKTOP-86FUD2L


He cambiado las contraseñas, aunque sigo pensando que pueden estar dentro del ordenador, no sé cómo.


Muchas gracias

5  Seguridad Informática / Seguridad / Re: Ayuda - Se asignaron privilegios especiales a un nuevo inicio de sesión en: 4 Diciembre 2016, 19:37 pm
Muchas gracias por tu respuesta, Slava_TZD.

A las 5.00 de la mañana tengo este mensaje en el visor de eventos pero mi ordenador estaba apagado. ¿Es normal?
Lo de que ponga "suplantación" da mal rollo. Y lo de "sesión remota" también.



Se inició sesión correctamente en una cuenta.

Firmante:
   Id. de seguridad:      SYSTEM
   Nombre de cuenta:      DESKTOP-86FUD2L$
   Dominio de cuenta:      WORKGROUP
   Id. de inicio de sesión:      0x3E7

Información de inicio de sesión:
   Tipo de inicio de sesión:      5
   Modo de administrador restringido:   -
   Cuenta virtual:      No
   Token elevado:      Sí

Nivel de suplantación:      Suplantación

Nuevo inicio de sesión:
   Id. de seguridad:      SYSTEM
   Nombre de cuenta:      SYSTEM
   Dominio de cuenta:      NT AUTHORITY
   Id. de inicio de sesión:      0x3E7
   Inicio de sesión vinculado:      0x0
   Nombre de cuenta de red:   -
   Dominio de cuenta de red:   -
   GUID de inicio de sesión:      {00000000-0000-0000-0000-000000000000}

Información de proceso:
   Id. de proceso:      0x344
   Nombre de proceso:      C:\Windows\System32\services.exe

Información de red:
   Nombre de estación de trabajo:   
   Dirección de red de origen:   -
   Puerto de origen:      -

Información de autenticación detallada:
   Proceso de inicio de sesión:      Advapi  
   Paquete de autenticación:   Negotiate
   Servicios transitados:   -
   Nombre de paquete (solo NTLM):   -
   Longitud de clave:      0

Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso.

Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe.

El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red).

Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión.

Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos.

El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar.

Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica.
   - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC.
   - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión.
   - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM.
   - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión.
6  Seguridad Informática / Seguridad / Ayuda - Se asignaron privilegios especiales a un nuevo inicio de sesión en: 3 Diciembre 2016, 20:20 pm
Hola a todos. Me llamo María. Es la primera vez que escribo aquí. Empiezo a estar desesperada. No sé si podríais ayudarme, por favor. Esta semana descubrí que alguien se había metido en mis cuentas de Facebook, Gmail, Hotmail y WhatsApp Web a las 4 de la mañana mientras yo dormía (por eso me di cuenta).

He descubierto que alguien ha creado, de manera remota, usuarios con privilegios para iniciar sesión en mi ordenador. Pensaba que formateando el ordenador y borrando absolutamente todo se arreglaría. Pero no.

En el visor de eventos de Windows me siguen saliendo mensajes como estos:

Se inició sesión correctamente en una cuenta.


Información de inicio de sesión:
   Tipo de inicio de sesión:      5
   Modo de administrador restringido:   -
   Cuenta virtual:      No
   Token elevado:      Sí

Nivel de suplantación:      Suplantación


Y en otro evento pone:


Se asignaron privilegios especiales a un nuevo inicio de sesión.

Sujeto:
   Id. de seguridad:      SYSTEM
   Nombre de cuenta:      SYSTEM
   Dominio de cuenta:      NT AUTHORITY
   Id. de inicio de sesión:      0x3E7

Privilegios:      SeAssignPrimaryTokenPrivilege
         SeTcbPrivilege
         SeSecurityPrivilege
         SeTakeOwnershipPrivilege
         SeLoadDriverPrivilege
         SeBackupPrivilege
         SeRestorePrivilege
         SeDebugPrivilege
         SeAuditPrivilege
         SeSystemEnvironmentPrivilege
         SeImpersonatePrivilege
         SeDelegateSessionUserImpersonatePrivilege



Al principio me di cuenta de estas cosas porque ocurrían en horas en las que yo no estaba utilizando el ordenador. Hoy ya me he asustado porque al reiniciar han conseguido cambiarme la contraseña de inicio y no podía acceder a mi ordenador. Tuve que cambiarla desde el móvil.

Tengo un ordenador de sobremesa, Windows 10. No tengo mucha idea de temas de seguridad informática, por eso acudo a vosotros. Pensaba que formatear el ordenador resolvería el problema pero veo que no.

Así es como creo que me abren la cuenta y averiguan mis claves. Las he vuelto a cambiar pero no sirve de nada:

Operación criptográfica.

Sujeto:
   Id. de seguridad:      SYSTEM
   Nombre de cuenta:      WIN-C5NREP2TJ3S$
   Dominio de cuenta:      WORKGROUP
   Id. de inicio de sesión:      0x3E7

Parámetros criptográficos:
   Nombre de proveedor:   Microsoft Software Key Storage Provider
   Nombre de algoritmo:   RSA
   Nombre de clave:   877b0d8a-8977-0fed-cad6-f73fe205d89f
   Tipo de clave:   Clave de usuario.

Operación criptográfica:
   Operación:   Abrir clave.
   Código de retorno:   0x0


Y cuando esta mañana he vuelto a entrar en el ordenador con contraseña nueva, todos los eventos de Windows se han empezado a borrar solos. Más tarde, la pantalla se me ha ido a negro un segundo, como cuando inicias un programa. Eso no me había pasado nunca antes.

Por favor, ¿os ha ocurrido a vosotros? ¿Se os ocurre que puede ser?


Muchas gracias de antemano.

Páginas: [1]
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines