Estoy bajo amenaza?

Iniciado por vitorr, 27 Enero 2015, 00:46 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

vitorr

27 Enero 2015, 00:46 AM
Hola a tod@s.

Veran tengo un servidor con windows server activado ( no legalmente). Y ultimamente los usuarios me reportan errores de conexion a una aplicacion que esta en el server. He estado mirando el visor de sucesos y encuentro muchos intentos de acceso o al menos eso parecen, algo como lo siguiente:

visor de sucesos - registro de windows- seguridad.
Código [Seleccionar]

System

  - Provider

   [ Name]  Microsoft-Windows-Security-Auditing
   [ Guid]  {54849625-5478-4994-a5ba-3e3b0328c30d}

   EventID 4625

   Version 0

   Level 0

   Task 12544

   Opcode 0

   Keywords 0x8010000000000000

  - TimeCreated

   [ SystemTime]  2015-01-26T21:03:06.415Z

   EventRecordID 3297

   Correlation

  - Execution

   [ ProcessID]  660
   [ ThreadID]  756

   Channel Security

   Computer SERVERxxxxxx

   Security


- EventData

  SubjectUserSid S-1-0-0
  SubjectUserName -
  SubjectDomainName -
  SubjectLogonId 0x0
  TargetUserSid S-1-0-0
  TargetUserName administrator
  TargetDomainName AIRESI
  Status 0xc000006d
  FailureReason %%2313
  SubStatus 0xc0000064
  LogonType 3
  LogonProcessName NtLmSsp 
  AuthenticationPackageName NTLM
  WorkstationName JULISSA
  TransmittedServices -
  LmPackageName -
  KeyLength 0
  ProcessId 0x0
  ProcessName -
  IpAddress 186.74.238.210
  IpPort 3007




Los datos como la ip, el TargetDomainName y el WorkstationName cambian.

Por ejm:
ip                              WorkstationName
183.136.213.166   CHINA-CAD7F743A
186.215.149.6           EQUIPE

Tambien hay muchos eventos como:

visor de sucesos - registro de windows - sistema.

Código [Seleccionar]

El sistema detectó que el adaptador de red Conexión de área local estaba conectado a la red y ha iniciado un funcionamiento normal.


En el server tengo el hamachi para el acceso remoto a la app, el team viewer y el dropbox es lo unico. Estoy pensando que quiza el hack para activar ilegalmente el winserver trajera algun troyano oculto que me quiera estar metiendo algun gol, lo malo es que no lo he hacktivado yo, ha sido otra persona y no encuentro la manera de identificar que proceso esta validando el windows como original. Tampoco tengo instalado algun antivirus ( me recomiendan alguno gratuito para servidor?).

Espero algun consejo, tip o de plano tambien me ignoren  ::) ::)

Salu2ts.
Imprimir
Ir Arriba Páginas1
Acciones del Usuario