elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía rápida para descarga de herramientas gratuitas de seguridad y desinfección


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Estoy bajo amenaza?		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Estoy bajo amenaza?  (Leído 2,121 veces)
vitorr

Desconectado Desconectado

Mensajes: 9


Ver Perfil
Estoy bajo amenaza?
« en: 27 Enero 2015, 00:46 am »
Hola a tod@s.

Veran tengo un servidor con windows server activado ( no legalmente). Y ultimamente los usuarios me reportan errores de conexion a una aplicacion que esta en el server. He estado mirando el visor de sucesos y encuentro muchos intentos de acceso o al menos eso parecen, algo como lo siguiente:

visor de sucesos - registro de windows- seguridad.
Código:
 System 

  - Provider 

   [ Name]  Microsoft-Windows-Security-Auditing 
   [ Guid]  {54849625-5478-4994-a5ba-3e3b0328c30d} 
 
   EventID 4625 
 
   Version 0 
 
   Level 0 
 
   Task 12544 
 
   Opcode 0 
 
   Keywords 0x8010000000000000 
 
  - TimeCreated 

   [ SystemTime]  2015-01-26T21:03:06.415Z 
 
   EventRecordID 3297 
 
   Correlation 
 
  - Execution 

   [ ProcessID]  660 
   [ ThreadID]  756 
 
   Channel Security 
 
   Computer SERVERxxxxxx 
 
   Security 
 

- EventData 

  SubjectUserSid S-1-0-0 
  SubjectUserName - 
  SubjectDomainName - 
  SubjectLogonId 0x0 
  TargetUserSid S-1-0-0 
  TargetUserName administrator 
  TargetDomainName AIRESI 
  Status 0xc000006d 
  FailureReason %%2313 
  SubStatus 0xc0000064 
  LogonType 3 
  LogonProcessName NtLmSsp  
  AuthenticationPackageName NTLM 
  WorkstationName JULISSA 
  TransmittedServices - 
  LmPackageName - 
  KeyLength 0 
  ProcessId 0x0 
  ProcessName - 
  IpAddress 186.74.238.210 
  IpPort 3007



Los datos como la ip, el TargetDomainName y el WorkstationName cambian.

Por ejm:
ip                              WorkstationName
183.136.213.166   CHINA-CAD7F743A
186.215.149.6           EQUIPE

Tambien hay muchos eventos como:

visor de sucesos - registro de windows - sistema.

Código:
El sistema detectó que el adaptador de red Conexión de área local estaba conectado a la red y ha iniciado un funcionamiento normal.

En el server tengo el hamachi para el acceso remoto a la app, el team viewer y el dropbox es lo unico. Estoy pensando que quiza el hack para activar ilegalmente el winserver trajera algun troyano oculto que me quiera estar metiendo algun gol, lo malo es que no lo he hacktivado yo, ha sido otra persona y no encuentro la manera de identificar que proceso esta validando el windows como original. Tampoco tengo instalado algun antivirus ( me recomiendan alguno gratuito para servidor?).

Espero algun consejo, tip o de plano tambien me ignoren  ::) ::)

Salu2ts.
En línea
r32
Moderador
***
Desconectado Desconectado

Mensajes: 1.297



Ver Perfil WWW
Re: Estoy bajo amenaza?
« Respuesta #1 en: 28 Enero 2015, 00:01 am »
Hola pues puede ser que el activador trajese algun regalo.
Revisa tu trafico de red, eso te puede dar pistas.

Antivirus gratuitos para servers:

http://www.digital-defender.com/antivirus-server/

https://antivirus.comodo.com/download/thank-you.php?prod=cav-free&af=3269&crc=65&track=3269&key5sk1=2090ff0471a7cf5bc964f974e4673d3240495c20

http://sourceforge.net/projects/moonav/

Echales un vistazo a ver si te valen...

Saludos.
En línea
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Google bloquea el smartphone de Acer bajo amenaza de ostracismo
Noticias 		wolfbcn 2 1,879 Último mensaje 24 Septiembre 2012, 03:14 am
por farresito
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines