Ayuda - Se asignaron privilegios especiales a un nuevo inicio de sesión

Iniciado por MariaDG, 3 Diciembre 2016, 20:20 PM

0 Miembros y 1 Visitante están viendo este tema.

MariaDG

Hola a todos. Me llamo María. Es la primera vez que escribo aquí. Empiezo a estar desesperada. No sé si podríais ayudarme, por favor. Esta semana descubrí que alguien se había metido en mis cuentas de Facebook, Gmail, Hotmail y WhatsApp Web a las 4 de la mañana mientras yo dormía (por eso me di cuenta).

He descubierto que alguien ha creado, de manera remota, usuarios con privilegios para iniciar sesión en mi ordenador. Pensaba que formateando el ordenador y borrando absolutamente todo se arreglaría. Pero no.

En el visor de eventos de Windows me siguen saliendo mensajes como estos:

Se inició sesión correctamente en una cuenta.


Información de inicio de sesión:
   Tipo de inicio de sesión:      5
   Modo de administrador restringido:   -
   Cuenta virtual:      No
   Token elevado:      Sí

Nivel de suplantación:      Suplantación


Y en otro evento pone:


Se asignaron privilegios especiales a un nuevo inicio de sesión.

Sujeto:
   Id. de seguridad:      SYSTEM
   Nombre de cuenta:      SYSTEM
   Dominio de cuenta:      NT AUTHORITY
   Id. de inicio de sesión:      0x3E7

Privilegios:      SeAssignPrimaryTokenPrivilege
         SeTcbPrivilege
         SeSecurityPrivilege
         SeTakeOwnershipPrivilege
         SeLoadDriverPrivilege
         SeBackupPrivilege
         SeRestorePrivilege
         SeDebugPrivilege
         SeAuditPrivilege
         SeSystemEnvironmentPrivilege
         SeImpersonatePrivilege
         SeDelegateSessionUserImpersonatePrivilege



Al principio me di cuenta de estas cosas porque ocurrían en horas en las que yo no estaba utilizando el ordenador. Hoy ya me he asustado porque al reiniciar han conseguido cambiarme la contraseña de inicio y no podía acceder a mi ordenador. Tuve que cambiarla desde el móvil.

Tengo un ordenador de sobremesa, Windows 10. No tengo mucha idea de temas de seguridad informática, por eso acudo a vosotros. Pensaba que formatear el ordenador resolvería el problema pero veo que no.

Así es como creo que me abren la cuenta y averiguan mis claves. Las he vuelto a cambiar pero no sirve de nada:

Operación criptográfica.

Sujeto:
   Id. de seguridad:      SYSTEM
   Nombre de cuenta:      WIN-C5NREP2TJ3S$
   Dominio de cuenta:      WORKGROUP
   Id. de inicio de sesión:      0x3E7

Parámetros criptográficos:
   Nombre de proveedor:   Microsoft Software Key Storage Provider
   Nombre de algoritmo:   RSA
   Nombre de clave:   877b0d8a-8977-0fed-cad6-f73fe205d89f
   Tipo de clave:   Clave de usuario.

Operación criptográfica:
   Operación:   Abrir clave.
   Código de retorno:   0x0


Y cuando esta mañana he vuelto a entrar en el ordenador con contraseña nueva, todos los eventos de Windows se han empezado a borrar solos. Más tarde, la pantalla se me ha ido a negro un segundo, como cuando inicias un programa. Eso no me había pasado nunca antes.

Por favor, ¿os ha ocurrido a vosotros? ¿Se os ocurre que puede ser?


Muchas gracias de antemano.


Slava_TZD

Esos mensajes son normales, lo que quiera que esté pasando no tiene nada que ver con esos logs.


The fact is, even if you were to stop bombing us, imprisoning us, torturing us, vilifying us, and usurping our lands, we would continue to hate you because our primary reason for hating you will not cease to exist until you embrace Islam.

MariaDG

Muchas gracias por tu respuesta, Slava_TZD.

A las 5.00 de la mañana tengo este mensaje en el visor de eventos pero mi ordenador estaba apagado. ¿Es normal?
Lo de que ponga "suplantación" da mal rollo. Y lo de "sesión remota" también.



Se inició sesión correctamente en una cuenta.

Firmante:
   Id. de seguridad:      SYSTEM
   Nombre de cuenta:      DESKTOP-86FUD2L$
   Dominio de cuenta:      WORKGROUP
   Id. de inicio de sesión:      0x3E7

Información de inicio de sesión:
   Tipo de inicio de sesión:      5
   Modo de administrador restringido:   -
   Cuenta virtual:      No
   Token elevado:      Sí

Nivel de suplantación:      Suplantación

Nuevo inicio de sesión:
   Id. de seguridad:      SYSTEM
   Nombre de cuenta:      SYSTEM
   Dominio de cuenta:      NT AUTHORITY
   Id. de inicio de sesión:      0x3E7
   Inicio de sesión vinculado:      0x0
   Nombre de cuenta de red:   -
   Dominio de cuenta de red:   -
   GUID de inicio de sesión:      {00000000-0000-0000-0000-000000000000}

Información de proceso:
   Id. de proceso:      0x344
   Nombre de proceso:      C:\Windows\System32\services.exe

Información de red:
   Nombre de estación de trabajo:   
   Dirección de red de origen:   -
   Puerto de origen:      -

Información de autenticación detallada:
   Proceso de inicio de sesión:      Advapi  
   Paquete de autenticación:   Negotiate
   Servicios transitados:   -
   Nombre de paquete (solo NTLM):   -
   Longitud de clave:      0

Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso.

Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe.

El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red).

Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión.

Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos.

El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar.

Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica.
   - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC.
   - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión.
   - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM.
   - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión.

El_Andaluz

#3
MariaDG
CitarTengo un ordenador de sobremesa, Windows 10. No tengo mucha idea de temas de seguridad informática, por eso acudo a vosotros. Pensaba que formatear el ordenador resolvería el problema pero veo que no.

Eso no era la solución mal hecho sin saber que puede ser a no ser que fuera algo muy grave sería la ultima opción de todas por lo menos para mi.

MariaDG
CitarHola a todos. Me llamo María. Es la primera vez que escribo aquí. Empiezo a estar desesperada. No sé si podríais ayudarme, por favor. Esta semana descubrí que alguien se había metido en mis cuentas de Facebook, Gmail, Hotmail y WhatsApp Web a las 4 de la mañana mientras yo dormía (por eso me di cuenta).

Luego dices que alguien ha entrado en tus cuentas y supuestamente te la han "hackeado" te hago una pregunta ese Ordenador que tienes de sobremesa lo utilizas tu nada mas o lo utiliza mas gente en tu casa ?

Puede ser que te hayan infectado el ordenador con algún virus o que alguien físicamente haya cogido tu Ordenador de sobremesa y haya podido acceder algunas de tus cuentas.

Mi consejo es que cambies todas las contraseñas de esas cuentas, es decir no ponga la misma contraseñas en todas tus cuentas de Redes sociales por el motivo de que si accede a una de esas cuentas puede acceder a las demás utilizando las misma contraseñas entonces por las que sean difíciles.

No te metas en paginas raras donde te pidan tu cuenta y tu contraseñas a no ser que sea segura la pagina.





MariaDG

Muchas gracias por tu respuesta, El_Andaluz. Pensé que formatear lo arreglaría, qué malo es no saber de estas cosas.

Lo primero que pensé fue que alguien de mi familia se había metido en mis cuentas, pero me aseguré y no lo han hecho.

A pesar de tener el ordenador apagado y sin conexión a Internet, me siguen saliendo mensajes como este:

Se ha realizado un intento de consultar la existencia de una contraseña en blanco para una cuenta.

Firmante:
   Id. de seguridad:      DESKTOP-86FUD2L\Mariola
   Nombre de la cuenta:      Mariola
   Dominio de la cuenta:      DESKTOP-86FUD2L
   Id. de inicio de sesión:      0xD389A

Información adicional:
   Estación de trabajo del llamador:   WIN-C5NREP2TJ3S
   Nombre de la cuenta de destino:   Administrador
   Dominio de la cuenta de destino:   DESKTOP-86FUD2L


He cambiado las contraseñas, aunque sigo pensando que pueden estar dentro del ordenador, no sé cómo.


Muchas gracias


Slava_TZD

Te vuelvo a repetir lo mismo, esos mensajes son normales. Si no tienes ni p* idea, no mires los logs y si lo haces no saques conclusiones por tu cuenta. Este último evento que pones, se dispara cuando intentas loguear (entre otras cosas), se hace una consulta para saber si el usuario, en este caso mariola tiene contraseña o no. Los anteriores son de servicios logueando y haciendo lo que quiera que estén programados para hacer...


The fact is, even if you were to stop bombing us, imprisoning us, torturing us, vilifying us, and usurping our lands, we would continue to hate you because our primary reason for hating you will not cease to exist until you embrace Islam.

MariaDG

Hola de nuevo, sé que no tengo ni idea de estas cosas, por eso pregunto aquí y agradezco a los que me contestáis.

Alguien se ha metido en mi cuenta de Twitter (me ha saltado un aviso a mi correo) y también en mi Whatsapp Web. Han asignado privilegios y nombres de usuarios. Esto es lo que pone en los logs:

Esto es del 4 de marzo, sin yo haber encendido el ordenador en ningún momento:

Se enumeró la pertenencia a grupos locales con seguridad habilitada.

Grupo:
   Id. de seguridad:      BUILTIN\Administradores
   Nombre de grupo:      Administradores
   Dominio de grupo:      Builtin

Información de proceso:
   Id. de proceso:      0x730
   Nombre de proceso:      C:\Windows\System32\VSSVC.exe



Se enumeró la pertenencia a grupos locales con seguridad habilitada.

Grupo:
   Id. de seguridad:      BUILTIN\Administradores
   Nombre de grupo:      Administradores
   Dominio de grupo:      Builtin

Información de proceso:
   Id. de proceso:      0x1de8
   Nombre de proceso:      C:\Windows\System32\SrTasks.exe




Y esto es de esta mañana, dos horas antes de haber encendido el ordenador:

Se enumeró la pertenencia a grupos locales con seguridad habilitada.

Grupo:
   Id. de seguridad:      BUILTIN\Administradores
   Nombre de grupo:      Administradores
   Dominio de grupo:      Builtin

Información de proceso:
   Id. de proceso:      0x410
   Nombre de proceso:      C:\Windows\System32\svchost.exe


Se intentó iniciar sesión con credenciales explícitas.

Servidor de destino:
   Nombre de servidor de destino:   localhost
   Información adicional:   localhost

Información de proceso:
   Id. de proceso:   0x410
   Nombre de proceso:      C:\Windows\System32\svchost.exe

Información de red:
   Dirección de red:   127.0.0.1
   Puerto:         0

Este evento se genera cuando un proceso intenta iniciar sesión en una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuraciones de tipo de lote como tareas programadas, o cuando se usa el comando RUNAS.




Se inició sesión correctamente en una cuenta.

Información de inicio de sesión:
   Tipo de inicio de sesión:      2
   Modo de administrador restringido:   -
   Cuenta virtual:      No
   Token elevado:      Sí

Nivel de suplantación:      Suplantación

Información de proceso:
   Id. de proceso:      0x410
   Nombre de proceso:      C:\Windows\System32\svchost.exe

Información de red:
   Nombre de estación de trabajo:   DESKTOP-86FUD2L
   Dirección de red de origen:   127.0.0.1
   Puerto de origen:      0

Información de autenticación detallada:
   Proceso de inicio de sesión:      User32
   Paquete de autenticación:   Negotiate
   Servicios transitados:   -
   Nombre de paquete (solo NTLM):   -
   Longitud de clave:      0

Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso.

Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe.

El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red).

Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión.

Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos.

El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar.

Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica.
   - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC.
   - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión.
   - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM.
   - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión.



Se asignaron privilegios especiales a un nuevo inicio de sesión.


Privilegios:      SeSecurityPrivilege
         SeTakeOwnershipPrivilege
         SeLoadDriverPrivilege
         SeBackupPrivilege
         SeRestorePrivilege
         SeDebugPrivilege
         SeSystemEnvironmentPrivilege
         SeImpersonatePrivilege
         SeDelegateSessionUserImpersonatePrivilege


Por lo poco o nada que sé, he leído "suplantación", "impersonateprivilege", "svchost.exe" (que leí hace un tiempo que podía ser malicioso haciéndose pasar por algo de Windows) y "se intentó iniciar con credenciales explícitas".

Por favor, si alguien me puede decir si esto tiene que ver con hackear o no, se lo agradecería muchísimo. Sobre todo, de verdad, recalco que me han saltado dos avisos: que alguien se había metido en mi Twitter desde Thousand Oaks, CA (eso ponía en la IP) y ayer me llegó un mensaje de que alguien se había conectado a mi Whatsapp Web (yo no había sido).


Gracias de antemano.

MariaDG

Cita de: MariaDG en  6 Diciembre 2016, 11:51 AM
Muchas gracias por tu respuesta, El_Andaluz. Pensé que formatear lo arreglaría, qué malo es no saber de estas cosas.

Lo primero que pensé fue que alguien de mi familia se había metido en mis cuentas, pero me aseguré y no lo han hecho.

A pesar de tener el ordenador apagado y sin conexión a Internet, me siguen saliendo mensajes como este:

Se ha realizado un intento de consultar la existencia de una contraseña en blanco para una cuenta.

Firmante:
   
Información adicional:
   Estación de trabajo del llamador:   WIN-C5NREP2TJ3S
   Nombre de la cuenta de destino:   Administrador
   Dominio de la cuenta de destino:   DESKTOP-86FUD2L


He cambiado las contraseñas, aunque sigo pensando que pueden estar dentro del ordenador, no sé cómo.


Muchas gracias



fenirk

buenas tardes, primero te hago una consulta por lo que vi usas windows verdad? que windows usas?
primero fijate si no tenes algun troyano, cosa que descarto si ya formateaste la maquina, (podes chequear manualmente si tenes alguna conexion que no deberia estar; haciendo un netstat -abno y chequeas con el task manager el pid del proceso)
segundo fijate si tu router presuponiendo que tenes una conexion wifi tuvo alguna conexion no deseada, primero q tenga contraseña y que la misma sea WPA2-AES (si tenes un servidor radius y podes poner WPA2-enterprise mucho mejor, acto seguido cambia la pass (alfa numerica con caracteres especiales con una longitud considerable) pone un access-list para las direcciones mac que deberian conectarse al equipo
Y finalmente en tu equipo ejecutas secpol.msc vas a directivas locales, asignacion de derechos de usuario y ahi modificas los parametros: permitir inicio de sesion a traves de servicios de escritorio remoto, tambien podes ya que estas modificar otras politicas de seguridad

Randomize

CitarEsta semana descubrí que alguien se había metido en mis cuentas de Facebook, Gmail, Hotmail y WhatsApp Web a las 4 de la mañana mientras yo dormía (por eso me di cuenta).


Yo tengo un sueño requeteligero, ahora que apenas me entero de ná  :-\

Suertuda.


Cambia passwords  ;)

Un saludo.