Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - sqbyduu

Páginas1
#1
Seguridad / Re: Intrusion en pc
29 Marzo 2015, 22:13 PM
Muchas gracias por las respuestas.
Creo que mi problema principal es que no se como controlar los procesos, no entiendo bien lo que me indican y no puedo llegar a determinar si fue una intrusion o no.
Esta semana estuve leyendo bastante sobre como leer el visor de sucesos de windows pero la verdad no encontre nada claro para mi.
DavEmmanuel hice lo que me pediste de restaurar el sistema y me volvio a pasar lo mismo, aparecieron nuevamente los mismos procesos.

Por otro lado lei que lo primero que hay que hacer para saber si hay una intrusion es utilizar el comando ntbstat -s desde el cmd para saber si hay alguien conectado y el comando net share para ver que carpetas tenemos compartidas.

El comando ntbstat -s me arrojo que no habia conexiones remotas pero el comando net share me arrojo lo siguiente

ADMIN$       C:\Windows                      Admin remota
C$           C:\                             Recurso predeterminado
D$           D:\                             Recurso predeterminado
E$           E:\                             Recurso predeterminado
F$           F:\                             Recurso predeterminado
IPC$                                         IPC remota

segui leyendo y al parecer admin$ y ipc$ se utilizan como unas de las primeras tecnicas de ataque cuando se tiene acceso a una red lan, lo cual me parece extraño porque en mi router wifi no veo ningun cliente dhcp distinto a mi pc. Lo que no encontre en ningun lado hasta el momento es si estos recursos compartidos vienen habilitados desde el momento cero en la instalacion de un windows o si alguien me los activo posteriormente.

Desde ya muchas gracias por su tiempo e ire posteando las novedades por si a alguien mas le sirve

Salu2
#2
Seguridad / Intrusion en pc
22 Marzo 2015, 16:18 PM
Buenos días necesito si alguien me puede dar una mano. En el Event Log de windows tengo un inicio de sesión en un horario donde yo no estaba presente en mi pc.

El evento es el siguiente
Se inició sesión correctamente en una cuenta.

Sujeto:
   Id. de seguridad:      SYSTEM
   Nombre de cuenta:      FILESERVER$
   Dominio de cuenta:      SRV
   Id. de inicio de sesión:      0x3e7

Tipo de inicio de sesión:         5

Nuevo inicio de sesión:
   Id. de seguridad:      SYSTEM
   Nombre de cuenta:      SYSTEM
   Dominio de cuenta:      NT AUTHORITY
   Id. de inicio de sesión:      0x3e7
   GUID de inicio de sesión:      {00000000-0000-0000-0000-000000000000}

Información de proceso:
   Id. de proceso:      0x23c
   Nombre de proceso:      C:\Windows\System32\services.exe

Información de red:
   Nombre de estación de trabajo:   
   Dirección de red de origen:   -
   Puerto de origen:      -

Información de autenticación detallada:
   Proceso de inicio de sesión:      Advapi 
   Paquete de autenticación:   Negotiate
   Servicios transitados:   -
   Nombre de paquete (sólo NTLM):   -
   Longitud de clave:      0
 
----------------------------------------------------------------------------------

Tambien encontre otro proceso que dice

Se asignaron privilegios especiales a un nuevo inicio de sesión.

Sujeto:
   Id. de seguridad:      SYSTEM
   Nombre de cuenta:      SYSTEM
   Dominio de cuenta:      NT AUTHORITY
   Id. de inicio de sesión:      0x3e7

Privilegios:      SeAssignPrimaryTokenPrivilege
         SeTcbPrivilege
         SeSecurityPrivilege
         SeTakeOwnershipPrivilege
         SeLoadDriverPrivilege
         SeBackupPrivilege
         SeRestorePrivilege
         SeDebugPrivilege
         SeAuditPrivilege
         SeSystemEnvironmentPrivilege
         SeImpersonatePrivilege
-------------------------------------------------------------------------

Por otro lado en esta pc tengo un servidor FTP andando con el programa 3CDeamon el cual me arroja el siguiente log
       start time                        Peer            Byte  Status                 
Martes 22, 2015 06.13.24  93.174.XXX.XXX   0    Session closed by peer

---------------------------------------------------------------------------------------

La pc esta recien formateada los unicos programas que tiene instalados son

Office 2010
Vmware Player
Vmware converter
Servidor FTP 3CDeamon
Servidor FreeSSH
GFI Languard
WinRar
Adobe Reader
Avast

---------------------------------------------------------------------------------------

Estuve buscando en internet y algunos dicen que esto procesos lo utilizan los servicios de windows pero no me queda claro si verdaderamente tengo alguien merido en mi pc o solo es un proceso generado por un servicio automatico de windows o de algun programa instalado.

Mi pregunta es, tengo alguien metido en mi pc? y si es asi como puedo hacer para sacarlo.

Por favor necesitaria un mano ya que no tengo mucha experiencia en esto.

Desde ya muchas gracias
Páginas1