elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Arreglado, de nuevo, el registro del warzone (wargame) de EHN


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Intrusion en pc		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Intrusion en pc  (Leído 6,384 veces)
sqbyduu

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Intrusion en pc
« en: 22 Marzo 2015, 16:18 pm »
Buenos días necesito si alguien me puede dar una mano. En el Event Log de windows tengo un inicio de sesión en un horario donde yo no estaba presente en mi pc.

El evento es el siguiente
Se inició sesión correctamente en una cuenta.

Sujeto:
   Id. de seguridad:      SYSTEM
   Nombre de cuenta:      FILESERVER$
   Dominio de cuenta:      SRV
   Id. de inicio de sesión:      0x3e7

Tipo de inicio de sesión:         5

Nuevo inicio de sesión:
   Id. de seguridad:      SYSTEM
   Nombre de cuenta:      SYSTEM
   Dominio de cuenta:      NT AUTHORITY
   Id. de inicio de sesión:      0x3e7
   GUID de inicio de sesión:      {00000000-0000-0000-0000-000000000000}

Información de proceso:
   Id. de proceso:      0x23c
   Nombre de proceso:      C:\Windows\System32\services.exe

Información de red:
   Nombre de estación de trabajo:   
   Dirección de red de origen:   -
   Puerto de origen:      -

Información de autenticación detallada:
   Proceso de inicio de sesión:      Advapi 
   Paquete de autenticación:   Negotiate
   Servicios transitados:   -
   Nombre de paquete (sólo NTLM):   -
   Longitud de clave:      0
 
----------------------------------------------------------------------------------

Tambien encontre otro proceso que dice

Se asignaron privilegios especiales a un nuevo inicio de sesión.

Sujeto:
   Id. de seguridad:      SYSTEM
   Nombre de cuenta:      SYSTEM
   Dominio de cuenta:      NT AUTHORITY
   Id. de inicio de sesión:      0x3e7

Privilegios:      SeAssignPrimaryTokenPrivilege
         SeTcbPrivilege
         SeSecurityPrivilege
         SeTakeOwnershipPrivilege
         SeLoadDriverPrivilege
         SeBackupPrivilege
         SeRestorePrivilege
         SeDebugPrivilege
         SeAuditPrivilege
         SeSystemEnvironmentPrivilege
         SeImpersonatePrivilege
-------------------------------------------------------------------------

Por otro lado en esta pc tengo un servidor FTP andando con el programa 3CDeamon el cual me arroja el siguiente log
       start time                        Peer            Byte  Status                 
Martes 22, 2015 06.13.24  93.174.XXX.XXX   0    Session closed by peer

---------------------------------------------------------------------------------------

La pc esta recien formateada los unicos programas que tiene instalados son

Office 2010
Vmware Player
Vmware converter
Servidor FTP 3CDeamon
Servidor FreeSSH
GFI Languard
WinRar
Adobe Reader
Avast

---------------------------------------------------------------------------------------

Estuve buscando en internet y algunos dicen que esto procesos lo utilizan los servicios de windows pero no me queda claro si verdaderamente tengo alguien merido en mi pc o solo es un proceso generado por un servicio automatico de windows o de algun programa instalado.

Mi pregunta es, tengo alguien metido en mi pc? y si es asi como puedo hacer para sacarlo.

Por favor necesitaria un mano ya que no tengo mucha experiencia en esto.

Desde ya muchas gracias
 
En línea
Mario Olivera

Desconectado Desconectado

Mensajes: 108


Ser loco es pensar diferente.


Ver Perfil
Re: Intrusion en pc
« Respuesta #1 en: 22 Marzo 2015, 19:59 pm »
 Y mira que tipo de procesos tenes, los de windows analizalos y los otros analizalos y buscalos en google si es que tenes un proceso que no sabes de que es. Saludos
En línea
DavEmmanuel

Desconectado Desconectado

Mensajes: 28


Ver Perfil
Re: Intrusion en pc
« Respuesta #2 en: 23 Marzo 2015, 16:09 pm »
Aparentemente fue el propio sistema, pero si la PC estaba apagada, no lo veo posible. Ahora, suponiendo que estaba prendida, es posible que sea el sistema, o una intrusion (no puedo asegurarlo). Lo que me preocupa es la asignacion de "privilegios especiales". No hay que ponerse paranoico sin estar seguros de lo que paso, pero como prevencion (suponiendo una posible intrusion) recomendaria restaurar el sistema, y como ya te recomendaron, controla los procesos.
En línea
sqbyduu

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Re: Intrusion en pc
« Respuesta #3 en: 29 Marzo 2015, 22:13 pm »
Muchas gracias por las respuestas.
Creo que mi problema principal es que no se como controlar los procesos, no entiendo bien lo que me indican y no puedo llegar a determinar si fue una intrusion o no.
Esta semana estuve leyendo bastante sobre como leer el visor de sucesos de windows pero la verdad no encontre nada claro para mi.
DavEmmanuel hice lo que me pediste de restaurar el sistema y me volvio a pasar lo mismo, aparecieron nuevamente los mismos procesos.

Por otro lado lei que lo primero que hay que hacer para saber si hay una intrusion es utilizar el comando ntbstat -s desde el cmd para saber si hay alguien conectado y el comando net share para ver que carpetas tenemos compartidas.

El comando ntbstat -s me arrojo que no habia conexiones remotas pero el comando net share me arrojo lo siguiente

ADMIN$       C:\Windows                      Admin remota
C$           C:\                             Recurso predeterminado
D$           D:\                             Recurso predeterminado
E$           E:\                             Recurso predeterminado
F$           F:\                             Recurso predeterminado
IPC$                                         IPC remota

segui leyendo y al parecer admin$ y ipc$ se utilizan como unas de las primeras tecnicas de ataque cuando se tiene acceso a una red lan, lo cual me parece extraño porque en mi router wifi no veo ningun cliente dhcp distinto a mi pc. Lo que no encontre en ningun lado hasta el momento es si estos recursos compartidos vienen habilitados desde el momento cero en la instalacion de un windows o si alguien me los activo posteriormente.

Desde ya muchas gracias por su tiempo e ire posteando las novedades por si a alguien mas le sirve

Salu2
En línea
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Intrusión em mi pc « 1 2 »
Seguridad 		el_dandi 15 9,148 Último mensaje 9 Agosto 2010, 16:02 pm
por Novlucker
Intrusion LAN
Wireless en Windows 		Tracxus 6 5,333 Último mensaje 14 Enero 2012, 01:33 am
por Tracxus
Intrusión incomprensible. « 1 2 »
Wireless en Windows 		Anjonasaba 10 8,367 Último mensaje 30 Marzo 2016, 00:49 am
por Zomkar
Intrusion
Seguridad 		mask04 4 2,671 Último mensaje 6 Enero 2017, 11:20 am
por Ancasu
ForthyNorth - Operaciones de Intrusión
Tutoriales - Documentación 		ehn@ 0 527 Último mensaje 2 Noviembre 2023, 12:11 pm
por ehn@
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines