Registro normal o ataque?

30/10/2007 - 17:51 por Julio Ruiz | Informe spam
Buenos Días,

Un administrador de una LAN a la cual está ligada mi empresa me está
entregando los siguientes reportes sobre supuestos "ataques" a la red por
parte de unos equipos que conforman mi área, la descripción se las adjunto
al final del correo. Alguien puede corroborarme esto? Agradezco de antemano
su información:

Event Type: Failure Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 529
Date: 30/10/2007
Time: 09:33:56 a.m.
User: NT AUTHORITY\SYSTEM
Computer: ESALAZAR
Description:
Logon Failure:
Reason: Unknown user name or bad password
User Name: pmillan
Domain: HPPATMIL
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: HPPATMIL
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 10.6.5.17
Source Port: 0


For more information, see Help and Support Center at
http://go.microsoft.com/fwlink/events.asp.

Logon Failure:
Reason: Unknown user name or bad password
User Name: svides
Domain: HP69321282140
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: HP69321282140
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 10.6.5.101
Source Port: 0


For more information, see Help and Support Center at
http://go.microsoft.com/fwlink/events.asp.

Logon Failure:
Reason: Unknown user name or bad password
User Name: iuribe
Domain: AMK28
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: AMK28
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 10.6.5.210
Source Port: 0




Cordialmente, Julio Ruiz

Preguntas similare

Leer las respuestas

#1 Rodrigo de los Santos
30/10/2007 - 20:08 | Informe spam
Evidentemente el evento indica que alguien trato de loguearse a esas
estaciones de trabajo con esos usuarios en ese momento y no pudo. Si ese
usuario existe y se loguea a esa estación de trabajo probablemente sea un
error de ese o esos usuarios. Ahora si esos usuarios no existen o no están
dentro de su turno deberías investigar esas máquinas para ver quien estaba
sentado a esa hora en particular


Saludos

Rodrigo de los Santos
rodrigo.delossantos at mug.org.ar
rodrigo at dlssolutions.net

MVP - Windows Server - Group Policy
MCP - CCA - CNA
Miembro del MUG Argentina (suscribite! http://www.mug.org.ar)

Url: http://www.dlssolutions.net
Blog: http://nerdsupport.blogspot.com


"Julio Ruiz" wrote in message
news:
Buenos Días,

Un administrador de una LAN a la cual está ligada mi empresa me está
entregando los siguientes reportes sobre supuestos "ataques" a la red por
parte de unos equipos que conforman mi área, la descripción se las
adjunto al final del correo. Alguien puede corroborarme esto? Agradezco de
antemano su información:

Event Type: Failure Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 529
Date: 30/10/2007
Time: 09:33:56 a.m.
User: NT AUTHORITY\SYSTEM
Computer: ESALAZAR
Description:
Logon Failure:
Reason: Unknown user name or bad password
User Name: pmillan
Domain: HPPATMIL
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: HPPATMIL
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 10.6.5.17
Source Port: 0


For more information, see Help and Support Center at
http://go.microsoft.com/fwlink/events.asp.

Logon Failure:
Reason: Unknown user name or bad password
User Name: svides
Domain: HP69321282140
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: HP69321282140
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 10.6.5.101
Source Port: 0


For more information, see Help and Support Center at
http://go.microsoft.com/fwlink/events.asp.

Logon Failure:
Reason: Unknown user name or bad password
User Name: iuribe
Domain: AMK28
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: AMK28
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 10.6.5.210
Source Port: 0




Cordialmente, Julio Ruiz
Respuesta Responder a este mensaje
#2 Rodrigo de los Santos
30/10/2007 - 20:08 | Informe spam
Evidentemente el evento indica que alguien trato de loguearse a esas
estaciones de trabajo con esos usuarios en ese momento y no pudo. Si ese
usuario existe y se loguea a esa estación de trabajo probablemente sea un
error de ese o esos usuarios. Ahora si esos usuarios no existen o no están
dentro de su turno deberías investigar esas máquinas para ver quien estaba
sentado a esa hora en particular


Saludos

Rodrigo de los Santos
rodrigo.delossantos at mug.org.ar
rodrigo at dlssolutions.net

MVP - Windows Server - Group Policy
MCP - CCA - CNA
Miembro del MUG Argentina (suscribite! http://www.mug.org.ar)

Url: http://www.dlssolutions.net
Blog: http://nerdsupport.blogspot.com


"Julio Ruiz" wrote in message
news:
Buenos Días,

Un administrador de una LAN a la cual está ligada mi empresa me está
entregando los siguientes reportes sobre supuestos "ataques" a la red por
parte de unos equipos que conforman mi área, la descripción se las
adjunto al final del correo. Alguien puede corroborarme esto? Agradezco de
antemano su información:

Event Type: Failure Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 529
Date: 30/10/2007
Time: 09:33:56 a.m.
User: NT AUTHORITY\SYSTEM
Computer: ESALAZAR
Description:
Logon Failure:
Reason: Unknown user name or bad password
User Name: pmillan
Domain: HPPATMIL
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: HPPATMIL
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 10.6.5.17
Source Port: 0


For more information, see Help and Support Center at
http://go.microsoft.com/fwlink/events.asp.

Logon Failure:
Reason: Unknown user name or bad password
User Name: svides
Domain: HP69321282140
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: HP69321282140
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 10.6.5.101
Source Port: 0


For more information, see Help and Support Center at
http://go.microsoft.com/fwlink/events.asp.

Logon Failure:
Reason: Unknown user name or bad password
User Name: iuribe
Domain: AMK28
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: AMK28
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 10.6.5.210
Source Port: 0




Cordialmente, Julio Ruiz
Respuesta Responder a este mensaje
#3 Julio Ruiz
30/10/2007 - 23:31 | Informe spam
Gracias Rodrigo, lo raro es que los usuarios que son compañeros de
confianza, me comentan que no se loguean a esas máquinas o servidores para
nada y el administrador del dominio dice que hay demasiados registros y que
se nota un leve aumento en el tráfico de la red.

Que opinas?

"Rodrigo de los Santos" <rodrigo at dlssolutions dot net> escribió en el
mensaje de noticias:
Evidentemente el evento indica que alguien trato de loguearse a esas
estaciones de trabajo con esos usuarios en ese momento y no pudo. Si ese
usuario existe y se loguea a esa estación de trabajo probablemente sea un
error de ese o esos usuarios. Ahora si esos usuarios no existen o no
están dentro de su turno deberías investigar esas máquinas para ver quien
estaba sentado a esa hora en particular


Saludos

Rodrigo de los Santos
rodrigo.delossantos at mug.org.ar
rodrigo at dlssolutions.net

MVP - Windows Server - Group Policy
MCP - CCA - CNA
Miembro del MUG Argentina (suscribite! http://www.mug.org.ar)

Url: http://www.dlssolutions.net
Blog: http://nerdsupport.blogspot.com


"Julio Ruiz" wrote in message
news:
Buenos Días,

Un administrador de una LAN a la cual está ligada mi empresa me está
entregando los siguientes reportes sobre supuestos "ataques" a la red por
parte de unos equipos que conforman mi área, la descripción se las
adjunto al final del correo. Alguien puede corroborarme esto? Agradezco
de antemano su información:

Event Type: Failure Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 529
Date: 30/10/2007
Time: 09:33:56 a.m.
User: NT AUTHORITY\SYSTEM
Computer: ESALAZAR
Description:
Logon Failure:
Reason: Unknown user name or bad password
User Name: pmillan
Domain: HPPATMIL
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: HPPATMIL
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 10.6.5.17
Source Port: 0


For more information, see Help and Support Center at
http://go.microsoft.com/fwlink/events.asp.

Logon Failure:
Reason: Unknown user name or bad password
User Name: svides
Domain: HP69321282140
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: HP69321282140
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 10.6.5.101
Source Port: 0


For more information, see Help and Support Center at
http://go.microsoft.com/fwlink/events.asp.

Logon Failure:
Reason: Unknown user name or bad password
User Name: iuribe
Domain: AMK28
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: AMK28
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 10.6.5.210
Source Port: 0




Cordialmente, Julio Ruiz



Respuesta Responder a este mensaje
#4 Julio Ruiz
30/10/2007 - 23:31 | Informe spam
Gracias Rodrigo, lo raro es que los usuarios que son compañeros de
confianza, me comentan que no se loguean a esas máquinas o servidores para
nada y el administrador del dominio dice que hay demasiados registros y que
se nota un leve aumento en el tráfico de la red.

Que opinas?

"Rodrigo de los Santos" <rodrigo at dlssolutions dot net> escribió en el
mensaje de noticias:
Evidentemente el evento indica que alguien trato de loguearse a esas
estaciones de trabajo con esos usuarios en ese momento y no pudo. Si ese
usuario existe y se loguea a esa estación de trabajo probablemente sea un
error de ese o esos usuarios. Ahora si esos usuarios no existen o no
están dentro de su turno deberías investigar esas máquinas para ver quien
estaba sentado a esa hora en particular


Saludos

Rodrigo de los Santos
rodrigo.delossantos at mug.org.ar
rodrigo at dlssolutions.net

MVP - Windows Server - Group Policy
MCP - CCA - CNA
Miembro del MUG Argentina (suscribite! http://www.mug.org.ar)

Url: http://www.dlssolutions.net
Blog: http://nerdsupport.blogspot.com


"Julio Ruiz" wrote in message
news:
Buenos Días,

Un administrador de una LAN a la cual está ligada mi empresa me está
entregando los siguientes reportes sobre supuestos "ataques" a la red por
parte de unos equipos que conforman mi área, la descripción se las
adjunto al final del correo. Alguien puede corroborarme esto? Agradezco
de antemano su información:

Event Type: Failure Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 529
Date: 30/10/2007
Time: 09:33:56 a.m.
User: NT AUTHORITY\SYSTEM
Computer: ESALAZAR
Description:
Logon Failure:
Reason: Unknown user name or bad password
User Name: pmillan
Domain: HPPATMIL
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: HPPATMIL
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 10.6.5.17
Source Port: 0


For more information, see Help and Support Center at
http://go.microsoft.com/fwlink/events.asp.

Logon Failure:
Reason: Unknown user name or bad password
User Name: svides
Domain: HP69321282140
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: HP69321282140
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 10.6.5.101
Source Port: 0


For more information, see Help and Support Center at
http://go.microsoft.com/fwlink/events.asp.

Logon Failure:
Reason: Unknown user name or bad password
User Name: iuribe
Domain: AMK28
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: AMK28
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 10.6.5.210
Source Port: 0




Cordialmente, Julio Ruiz



Respuesta Responder a este mensaje
#5 Rodrigo de los Santos
31/10/2007 - 02:20 | Informe spam
Primero que nada deberían empezar a auditar eventos exitosos para ver si
esos ataques tienen un resultado positivo (con la auditoría de los failures
vos sabes cuando NO PUEDEN... pero nunca te enteras si entraron)

Luego deberías ubicar esas PC y tratar de investigar que usuario se sentó en
esos momentos (o si quedó también algún proceso que se esté logueando con
esos usuarios) ... probablemente estén tratando de acceder a la red con ese
usuario y están haciendo intentos de claves.

Si los usuarios son de confianza recomendales que cambien ya la contraseña
o, en lo posible, que cambien de usuario. Habilita las políticas de Account
Lockout para bloquear las cuentas para evitar intentos de Fuerza Bruta (si
es que se están originando)




Saludos

Rodrigo de los Santos
rodrigo.delossantos at mug.org.ar
rodrigo at dlssolutions.net

MVP - Windows Server - Group Policy
MCP - CCA - CNA
Miembro del MUG Argentina (suscribite! http://www.mug.org.ar)

Url: http://www.dlssolutions.net
Blog: http://nerdsupport.blogspot.com


"Julio Ruiz" wrote in message
news:
Gracias Rodrigo, lo raro es que los usuarios que son compañeros de
confianza, me comentan que no se loguean a esas máquinas o servidores para
nada y el administrador del dominio dice que hay demasiados registros y
que se nota un leve aumento en el tráfico de la red.

Que opinas?

"Rodrigo de los Santos" <rodrigo at dlssolutions dot net> escribió en el
mensaje de noticias:
Evidentemente el evento indica que alguien trato de loguearse a esas
estaciones de trabajo con esos usuarios en ese momento y no pudo. Si ese
usuario existe y se loguea a esa estación de trabajo probablemente sea un
error de ese o esos usuarios. Ahora si esos usuarios no existen o no
están dentro de su turno deberías investigar esas máquinas para ver quien
estaba sentado a esa hora en particular


Saludos

Rodrigo de los Santos
rodrigo.delossantos at mug.org.ar
rodrigo at dlssolutions.net

MVP - Windows Server - Group Policy
MCP - CCA - CNA
Miembro del MUG Argentina (suscribite! http://www.mug.org.ar)

Url: http://www.dlssolutions.net
Blog: http://nerdsupport.blogspot.com


"Julio Ruiz" wrote in message
news:
Buenos Días,

Un administrador de una LAN a la cual está ligada mi empresa me está
entregando los siguientes reportes sobre supuestos "ataques" a la red
por parte de unos equipos que conforman mi área, la descripción se las
adjunto al final del correo. Alguien puede corroborarme esto? Agradezco
de antemano su información:

Event Type: Failure Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 529
Date: 30/10/2007
Time: 09:33:56 a.m.
User: NT AUTHORITY\SYSTEM
Computer: ESALAZAR
Description:
Logon Failure:
Reason: Unknown user name or bad password
User Name: pmillan
Domain: HPPATMIL
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: HPPATMIL
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 10.6.5.17
Source Port: 0


For more information, see Help and Support Center at
http://go.microsoft.com/fwlink/events.asp.

Logon Failure:
Reason: Unknown user name or bad password
User Name: svides
Domain: HP69321282140
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: HP69321282140
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 10.6.5.101
Source Port: 0


For more information, see Help and Support Center at
http://go.microsoft.com/fwlink/events.asp.

Logon Failure:
Reason: Unknown user name or bad password
User Name: iuribe
Domain: AMK28
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: AMK28
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 10.6.5.210
Source Port: 0




Cordialmente, Julio Ruiz



Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida