elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Sigue las noticias más importantes de seguridad informática en el Twitter! de elhacker.NET


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  He sufrido un ataque?		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: He sufrido un ataque?  (Leído 2,846 veces)
polmadur

Desconectado Desconectado

Mensajes: 47


Ver Perfil
He sufrido un ataque?
« en: 3 Diciembre 2014, 09:36 am »
Hola buenos días, esta mañana me han dado un aviso que me está dejando muy intranquilo. En un servidor no se podía acceder a Navision, investigando he visto que se me habían borrado casi todos los archivos de la carpeta donde está instalada! Me ha pasado lo mismo con Firefox y con un programa de acceso a La Caixa, directamente han desaparecido todos los archivos instalados.

Llevo un rato investigando el visor de sucesos de mi servidor y me sale muchos eventos de Fallo de Auditoria al intentar iniciar sesión como Administrador, esto es lo que me sale.

"Error de una cuenta al iniciar sesión.
Sujeto:
   Id. de seguridad:      SYSTEM
   Nombre de cuenta:      SRV-CETAPUNTS$
   Dominio de cuenta:      D-CETAPUNTS
   Id. de inicio de sesión:      0x3e7

Tipo de inicio de sesión:         10

Cuenta con error de inicio de sesión:
   Id. de seguridad:      NULL SID
   Nombre de cuenta:      administrator
   Dominio de cuenta:      SRV-CETAPUNTS

Información de error:
   Motivo del error:      Nombre de usuario desconocido o contraseña incorrecta
   Estado:         0xc000006d
   Subestado:      0xc0000064

Información de proceso:
   Id. de proceso del autor de la llamada:   0x3314
   Nombre de proceso del autor de la llamada:   C:\Windows\System32\winlogon.exe

Información de red:
   Nombre de estación de trabajo:   SRV-CETAPUNTS
   Dirección de red de origen:   202.185.4.195
   Puerto de origen:      1088

Información de autenticación detallada:
   Proceso de inicio de sesión:      User32
   Paquete de autenticación:   Negotiate
   Servicios transitados:   -
   Nombre de paquete (sólo NTLM):   -
   Longitud de clave:   0
"


Veo una IP que desconozco, puede ser el foco? Y como es posible si constantemente pone que no se ha acertado con el usuario y contraseña? O no tiene nada que ver?


Muchas gracias.
En línea
r32
Moderador
***
Desconectado Desconectado

Mensajes: 1.299



Ver Perfil WWW
Re: He sufrido un ataque?
« Respuesta #1 en: 4 Diciembre 2014, 01:31 am »
Si repartes recursos en red puede ser se te hayan colado por ahí (no lo se seguro, pregunto), aquí tienes info sobre la IP de prígen:

http://whois.domaintools.com/202.185.4.195

Intenta restaurar sistema o si tienes algun backup, pero antes asegurate tener la máquina limpia.

Puedes subir un log de reporte y le echamos un vistao o tu por tu cuenta pasar algunas herramientas a ver si encuentran algun foco de infección.
Aquí tienes alguna que te pueden servir:

https://foro.elhacker.net/seguridad/guia_rapida_para_descarga_de_herramientas_gratuitas_de_seguridad_y_desinfeccion-t382090.0.html

Saludos.
En línea
polmadur

Desconectado Desconectado

Mensajes: 47


Ver Perfil
Re: He sufrido un ataque?
« Respuesta #2 en: 4 Diciembre 2014, 08:43 am »
Ayer pasé mi antivirus Nod32 no detectó nada y pasé el malwarebytes también, esto me salió.

"Malwarebytes Anti-Malware
www.malwarebytes.org

Scan Date: 03/12/2014
Scan Time: 11:43:36
Logfile: mal.txt
Administrator: Yes

Version: 2.00.3.1025
Malware Database: v2014.12.03.04
Rootkit Database: v2014.12.02.02
License: Free
Malware Protection: Disabled
Malicious Website Protection: Disabled
Self-protection: Disabled

OS: Windows Server 2008 R2 Service Pack 1
CPU: x64
File System: NTFS
User: administrador

Scan Type: Custom Scan
Result: Completed
Objects Scanned: 966976
Time Elapsed: 2 hr, 9 min, 21 sec

Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Enabled
Heuristics: Enabled
PUP: Enabled
PUM: Enabled

Processes: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Registry Keys: 0
(No malicious items detected)

Registry Values: 0
(No malicious items detected)

Registry Data: 0
(No malicious items detected)

Folders: 0
(No malicious items detected)

Files: 4
PUP.Optional.SupTab.A, E:\USUARIOS\merche\AdwCleaner\Quarantine\C\Program Files (x86)\SupTab\SupTab.dll.vir, Quarantined, [f11d8ed02c5045f10b8ff63f14ec8b75],
PUP.Optional.IePluginService.A, E:\USUARIOS\merche\AdwCleaner\Quarantine\C\ProgramData\IePluginService\PluginService.exe.vir, Quarantined, [1bf383db205cf83e36fa4f237a87a25e],
PUP.Optional.IePluginService.A, E:\USUARIOS\merche\AdwCleaner\Quarantine\C\ProgramData\IePluginServices\PluginService.exe.vir, Quarantined, [f11df46ad3a9310531ffb0c20bf644bc],
PUP.Optional.WpManager, E:\USUARIOS\merche\AdwCleaner\Quarantine\C\ProgramData\WPM\wprotectmanager.exe.vir, Quarantined, [ed21acb235473303be1ea0dc39c88878],

Physical Sectors: 0
(No malicious items detected)


(end)"
En línea
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Casi 200.000 jóvenes han sufrido ataques a su reputación en las redes sociales
Noticias 		wolfbcn 1 1,807 Último mensaje 5 Diciembre 2011, 12:20 pm
por 6666
Nvidia confirma que los foros para usuarios de su web han sufrido un ataque
Noticias 		wolfbcn 0 1,301 Último mensaje 13 Julio 2012, 21:24 pm
por wolfbcn
Blizzard comunica que ha sufrido un acceso no autorizado en sus servidores
Noticias 		skapunky 4 4,316 Último mensaje 12 Agosto 2012, 23:01 pm
por crazykenny
Así fue el peor ciberataque sufrido por la Generalitat en su historia
Noticias 		wolfbcn 2 1,843 Último mensaje 12 Noviembre 2014, 12:37 pm
por el-brujo
He intentado replicar esta imagen y esto es lo que he sufrido
Noticias 		wolfbcn 0 1,095 Último mensaje 23 Junio 2015, 18:18 pm
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines