Registro normal o ataque?

Discussion in 'Virus Information' started by Julio Ruiz, Oct 30, 2007.

  1. Julio Ruiz

    Julio Ruiz Guest

    Buenos Días,

    Un administrador de una LAN a la cual está ligada mi empresa me está
    entregando los siguientes reportes sobre supuestos "ataques" a la red por
    parte de unos equipos que conforman mi área, la descripción se las adjunto
    al final del correo. Alguien puede corroborarme esto? Agradezco de antemano
    su información:

    Event Type: Failure Audit
    Event Source: Security
    Event Category: Logon/Logoff
    Event ID: 529
    Date: 30/10/2007
    Time: 09:33:56 a.m.
    User: NT AUTHORITY\SYSTEM
    Computer: ESALAZAR
    Description:
    Logon Failure:
    Reason: Unknown user name or bad password
    User Name: pmillan
    Domain: HPPATMIL
    Logon Type: 3
    Logon Process: NtLmSsp
    Authentication Package: NTLM
    Workstation Name: HPPATMIL
    Caller User Name: -
    Caller Domain: -
    Caller Logon ID: -
    Caller Process ID: -
    Transited Services: -
    Source Network Address: 10.6.5.17
    Source Port: 0


    For more information, see Help and Support Center at
    http://go.microsoft.com/fwlink/events.asp.

    Logon Failure:
    Reason: Unknown user name or bad password
    User Name: svides
    Domain: HP69321282140
    Logon Type: 3
    Logon Process: NtLmSsp
    Authentication Package: NTLM
    Workstation Name: HP69321282140
    Caller User Name: -
    Caller Domain: -
    Caller Logon ID: -
    Caller Process ID: -
    Transited Services: -
    Source Network Address: 10.6.5.101
    Source Port: 0


    For more information, see Help and Support Center at
    http://go.microsoft.com/fwlink/events.asp.

    Logon Failure:
    Reason: Unknown user name or bad password
    User Name: iuribe
    Domain: AMK28
    Logon Type: 3
    Logon Process: NtLmSsp
    Authentication Package: NTLM
    Workstation Name: AMK28
    Caller User Name: -
    Caller Domain: -
    Caller Logon ID: -
    Caller Process ID: -
    Transited Services: -
    Source Network Address: 10.6.5.210
    Source Port: 0
     
    Julio Ruiz, Oct 30, 2007
    #1
    1. Advertisements

  2. Evidentemente el evento indica que alguien trato de loguearse a esas
    estaciones de trabajo con esos usuarios en ese momento y no pudo. Si ese
    usuario existe y se loguea a esa estación de trabajo probablemente sea un
    error de ese o esos usuarios. Ahora si esos usuarios no existen o no están
    dentro de su turno deberías investigar esas máquinas para ver quien estaba
    sentado a esa hora en particular

    --

    Saludos

    Rodrigo de los Santos
    rodrigo.delossantos at mug.org.ar
    rodrigo at dlssolutions.net
     
    Rodrigo de los Santos, Oct 30, 2007
    #2
    1. Advertisements

  3. Julio Ruiz

    Julio Ruiz Guest

    Gracias Rodrigo, lo raro es que los usuarios que son compañeros de
    confianza, me comentan que no se loguean a esas máquinas o servidores para
    nada y el administrador del dominio dice que hay demasiados registros y que
    se nota un leve aumento en el tráfico de la red.

    Que opinas?

     
    Julio Ruiz, Oct 30, 2007
    #3
  4. Primero que nada deberían empezar a auditar eventos exitosos para ver si
    esos ataques tienen un resultado positivo (con la auditoría de los failures
    vos sabes cuando NO PUEDEN... pero nunca te enteras si entraron)

    Luego deberías ubicar esas PC y tratar de investigar que usuario se sentó en
    esos momentos (o si quedó también algún proceso que se esté logueando con
    esos usuarios) ... probablemente estén tratando de acceder a la red con ese
    usuario y están haciendo intentos de claves.

    Si los usuarios son de confianza recomendales que cambien ya la contraseña
    o, en lo posible, que cambien de usuario. Habilita las políticas de Account
    Lockout para bloquear las cuentas para evitar intentos de Fuerza Bruta (si
    es que se están originando)



    --

    Saludos

    Rodrigo de los Santos
    rodrigo.delossantos at mug.org.ar
    rodrigo at dlssolutions.net
    ------------------------------------------------
    MVP - Windows Server - Group Policy
    MCP - CCA - CNA
    Miembro del MUG Argentina (suscribite! http://www.mug.org.ar)
    ------------------------------------------------
    Url: http://www.dlssolutions.net
    Blog: http://nerdsupport.blogspot.com
    ------------------------------------------------

     
    Rodrigo de los Santos, Oct 31, 2007
    #4
    1. Advertisements

Ask a Question

Want to reply to this thread or ask your own question?

You'll need to choose a username for the site, which only take a couple of moments (here). After that, you can post your question and our members will help you out.