Buenos días necesito si alguien me puede dar una mano. En el Event Log de windows tengo un inicio de sesión en un horario donde yo no estaba presente en mi pc.
El evento es el siguiente
Se inició sesión correctamente en una cuenta.
Sujeto:
Id. de seguridad: SYSTEM
Nombre de cuenta: FILESERVER$
Dominio de cuenta: SRV
Id. de inicio de sesión: 0x3e7
Tipo de inicio de sesión: 5
Nuevo inicio de sesión:
Id. de seguridad: SYSTEM
Nombre de cuenta: SYSTEM
Dominio de cuenta: NT AUTHORITY
Id. de inicio de sesión: 0x3e7
GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000}
Información de proceso:
Id. de proceso: 0x23c
Nombre de proceso: C:\Windows\System32\services.exe
Información de red:
Nombre de estación de trabajo:
Dirección de red de origen: -
Puerto de origen: -
Información de autenticación detallada:
Proceso de inicio de sesión: Advapi
Paquete de autenticación: Negotiate
Servicios transitados: -
Nombre de paquete (sólo NTLM): -
Longitud de clave: 0
----------------------------------------------------------------------------------
Tambien encontre otro proceso que dice
Se asignaron privilegios especiales a un nuevo inicio de sesión.
Sujeto:
Id. de seguridad: SYSTEM
Nombre de cuenta: SYSTEM
Dominio de cuenta: NT AUTHORITY
Id. de inicio de sesión: 0x3e7
Privilegios: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
-------------------------------------------------------------------------
Por otro lado en esta pc tengo un servidor FTP andando con el programa 3CDeamon el cual me arroja el siguiente log
start time Peer Byte Status
Martes 22, 2015 06.13.24 93.174.XXX.XXX 0 Session closed by peer
---------------------------------------------------------------------------------------
La pc esta recien formateada los unicos programas que tiene instalados son
Office 2010
Vmware Player
Vmware converter
Servidor FTP 3CDeamon
Servidor FreeSSH
GFI Languard
WinRar
Adobe Reader
Avast
---------------------------------------------------------------------------------------
Estuve buscando en internet y algunos dicen que esto procesos lo utilizan los servicios de windows pero no me queda claro si verdaderamente tengo alguien merido en mi pc o solo es un proceso generado por un servicio automatico de windows o de algun programa instalado.
Mi pregunta es, tengo alguien metido en mi pc? y si es asi como puedo hacer para sacarlo.
Por favor necesitaria un mano ya que no tengo mucha experiencia en esto.
Desde ya muchas gracias
Y mira que tipo de procesos tenes, los de windows analizalos y los otros analizalos y buscalos en google si es que tenes un proceso que no sabes de que es. Saludos
Aparentemente fue el propio sistema, pero si la PC estaba apagada, no lo veo posible. Ahora, suponiendo que estaba prendida, es posible que sea el sistema, o una intrusion (no puedo asegurarlo). Lo que me preocupa es la asignacion de "privilegios especiales". No hay que ponerse paranoico sin estar seguros de lo que paso, pero como prevencion (suponiendo una posible intrusion) recomendaria restaurar el sistema, y como ya te recomendaron, controla los procesos.
Muchas gracias por las respuestas.
Creo que mi problema principal es que no se como controlar los procesos, no entiendo bien lo que me indican y no puedo llegar a determinar si fue una intrusion o no.
Esta semana estuve leyendo bastante sobre como leer el visor de sucesos de windows pero la verdad no encontre nada claro para mi.
DavEmmanuel hice lo que me pediste de restaurar el sistema y me volvio a pasar lo mismo, aparecieron nuevamente los mismos procesos.
Por otro lado lei que lo primero que hay que hacer para saber si hay una intrusion es utilizar el comando ntbstat -s desde el cmd para saber si hay alguien conectado y el comando net share para ver que carpetas tenemos compartidas.
El comando ntbstat -s me arrojo que no habia conexiones remotas pero el comando net share me arrojo lo siguiente
ADMIN$ C:\Windows Admin remota
C$ C:\ Recurso predeterminado
D$ D:\ Recurso predeterminado
E$ E:\ Recurso predeterminado
F$ F:\ Recurso predeterminado
IPC$ IPC remota
segui leyendo y al parecer admin$ y ipc$ se utilizan como unas de las primeras tecnicas de ataque cuando se tiene acceso a una red lan, lo cual me parece extraño porque en mi router wifi no veo ningun cliente dhcp distinto a mi pc. Lo que no encontre en ningun lado hasta el momento es si estos recursos compartidos vienen habilitados desde el momento cero en la instalacion de un windows o si alguien me los activo posteriormente.
Desde ya muchas gracias por su tiempo e ire posteando las novedades por si a alguien mas le sirve
Salu2