He sufrido un ataque?

Iniciado por polmadur, 3 Diciembre 2014, 09:36 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

polmadur

3 Diciembre 2014, 09:36 AM
Hola buenos días, esta mañana me han dado un aviso que me está dejando muy intranquilo. En un servidor no se podía acceder a Navision, investigando he visto que se me habían borrado casi todos los archivos de la carpeta donde está instalada! Me ha pasado lo mismo con Firefox y con un programa de acceso a La Caixa, directamente han desaparecido todos los archivos instalados.

Llevo un rato investigando el visor de sucesos de mi servidor y me sale muchos eventos de Fallo de Auditoria al intentar iniciar sesión como Administrador, esto es lo que me sale.

"Error de una cuenta al iniciar sesión.
Sujeto:
   Id. de seguridad:      SYSTEM
   Nombre de cuenta:      SRV-CETAPUNTS$
   Dominio de cuenta:      D-CETAPUNTS
   Id. de inicio de sesión:      0x3e7

Tipo de inicio de sesión:         10

Cuenta con error de inicio de sesión:
   Id. de seguridad:      NULL SID
   Nombre de cuenta:      administrator
   Dominio de cuenta:      SRV-CETAPUNTS

Información de error:
   Motivo del error:      Nombre de usuario desconocido o contraseña incorrecta
   Estado:         0xc000006d
   Subestado:      0xc0000064

Información de proceso:
   Id. de proceso del autor de la llamada:   0x3314
   Nombre de proceso del autor de la llamada:   C:\Windows\System32\winlogon.exe

Información de red:
   Nombre de estación de trabajo:   SRV-CETAPUNTS
   Dirección de red de origen:   202.185.4.195
   Puerto de origen:      1088

Información de autenticación detallada:
   Proceso de inicio de sesión:      User32
   Paquete de autenticación:   Negotiate
   Servicios transitados:   -
   Nombre de paquete (sólo NTLM):   -
   Longitud de clave:   0
"


Veo una IP que desconozco, puede ser el foco? Y como es posible si constantemente pone que no se ha acertado con el usuario y contraseña? O no tiene nada que ver?


Muchas gracias.

r32

#1
4 Diciembre 2014, 01:31 AM
Si repartes recursos en red puede ser se te hayan colado por ahí (no lo se seguro, pregunto), aquí tienes info sobre la IP de prígen:

http://whois.domaintools.com/202.185.4.195

Intenta restaurar sistema o si tienes algun backup, pero antes asegurate tener la máquina limpia.

Puedes subir un log de reporte y le echamos un vistao o tu por tu cuenta pasar algunas herramientas a ver si encuentran algun foco de infección.
Aquí tienes alguna que te pueden servir:

https://foro.elhacker.net/seguridad/guia_rapida_para_descarga_de_herramientas_gratuitas_de_seguridad_y_desinfeccion-t382090.0.html

Saludos.

polmadur

#2
4 Diciembre 2014, 08:43 AM
Ayer pasé mi antivirus Nod32 no detectó nada y pasé el malwarebytes también, esto me salió.

"Malwarebytes Anti-Malware
www.malwarebytes.org

Scan Date: 03/12/2014
Scan Time: 11:43:36
Logfile: mal.txt
Administrator: Yes

Version: 2.00.3.1025
Malware Database: v2014.12.03.04
Rootkit Database: v2014.12.02.02
License: Free
Malware Protection: Disabled
Malicious Website Protection: Disabled
Self-protection: Disabled

OS: Windows Server 2008 R2 Service Pack 1
CPU: x64
File System: NTFS
User: administrador

Scan Type: Custom Scan
Result: Completed
Objects Scanned: 966976
Time Elapsed: 2 hr, 9 min, 21 sec

Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Enabled
Heuristics: Enabled
PUP: Enabled
PUM: Enabled

Processes: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Registry Keys: 0
(No malicious items detected)

Registry Values: 0
(No malicious items detected)

Registry Data: 0
(No malicious items detected)

Folders: 0
(No malicious items detected)

Files: 4
PUP.Optional.SupTab.A, E:\USUARIOS\merche\AdwCleaner\Quarantine\C\Program Files (x86)\SupTab\SupTab.dll.vir, Quarantined, [f11d8ed02c5045f10b8ff63f14ec8b75],
PUP.Optional.IePluginService.A, E:\USUARIOS\merche\AdwCleaner\Quarantine\C\ProgramData\IePluginService\PluginService.exe.vir, Quarantined, [1bf383db205cf83e36fa4f237a87a25e],
PUP.Optional.IePluginService.A, E:\USUARIOS\merche\AdwCleaner\Quarantine\C\ProgramData\IePluginServices\PluginService.exe.vir, Quarantined, [f11df46ad3a9310531ffb0c20bf644bc],
PUP.Optional.WpManager, E:\USUARIOS\merche\AdwCleaner\Quarantine\C\ProgramData\WPM\wprotectmanager.exe.vir, Quarantined, [ed21acb235473303be1ea0dc39c88878],

Physical Sectors: 0
(No malicious items detected)


(end)"
Imprimir
Ir Arriba Páginas1
Acciones del Usuario