Registro normal o ataque?

J

Julio Ruiz

Buenos Días,

Un administrador de una LAN a la cual está ligada mi empresa me está
entregando los siguientes reportes sobre supuestos "ataques" a la red por
parte de unos equipos que conforman mi área, la descripción se las adjunto
al final del correo. Alguien puede corroborarme esto? Agradezco de antemano
su información:

Event Type: Failure Audit
Event Source: Security
Event Category: Logon/Logoff
Event ID: 529
Date: 30/10/2007
Time: 09:33:56 a.m.
User: NT AUTHORITY\SYSTEM
Computer: ESALAZAR
Description:
Logon Failure:
Reason: Unknown user name or bad password
User Name: pmillan
Domain: HPPATMIL
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: HPPATMIL
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 10.6.5.17
Source Port: 0


For more information, see Help and Support Center at
http://go.microsoft.com/fwlink/events.asp.

Logon Failure:
Reason: Unknown user name or bad password
User Name: svides
Domain: HP69321282140
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: HP69321282140
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 10.6.5.101
Source Port: 0


For more information, see Help and Support Center at
http://go.microsoft.com/fwlink/events.asp.

Logon Failure:
Reason: Unknown user name or bad password
User Name: iuribe
Domain: AMK28
Logon Type: 3
Logon Process: NtLmSsp
Authentication Package: NTLM
Workstation Name: AMK28
Caller User Name: -
Caller Domain: -
Caller Logon ID: -
Caller Process ID: -
Transited Services: -
Source Network Address: 10.6.5.210
Source Port: 0



--

Cordialmente, Julio Ruiz
 
R

Rodrigo de los Santos

Evidentemente el evento indica que alguien trato de loguearse a esas
estaciones de trabajo con esos usuarios en ese momento y no pudo. Si ese
usuario existe y se loguea a esa estación de trabajo probablemente sea un
error de ese o esos usuarios. Ahora si esos usuarios no existen o no están
dentro de su turno deberías investigar esas máquinas para ver quien estaba
sentado a esa hora en particular

--

Saludos

Rodrigo de los Santos
rodrigo.delossantos at mug.org.ar
rodrigo at dlssolutions.net
------------------------------------------------
MVP - Windows Server - Group Policy
MCP - CCA - CNA
Miembro del MUG Argentina (suscribite! http://www.mug.org.ar)
------------------------------------------------
Url: http://www.dlssolutions.net
Blog: http://nerdsupport.blogspot.com
------------------------------------------------

"Julio Ruiz" <juliocruizr@hotmail.com> wrote in message
news:uMZMXUxGIHA.5276@TK2MSFTNGP04.phx.gbl...
> Buenos Días,
>
> Un administrador de una LAN a la cual está ligada mi empresa me está
> entregando los siguientes reportes sobre supuestos "ataques" a la red por
> parte de unos equipos que conforman mi área, la descripción se las
> adjunto al final del correo. Alguien puede corroborarme esto? Agradezco de
> antemano su información:
>
> Event Type: Failure Audit
> Event Source: Security
> Event Category: Logon/Logoff
> Event ID: 529
> Date: 30/10/2007
> Time: 09:33:56 a.m.
> User: NT AUTHORITY\SYSTEM
> Computer: ESALAZAR
> Description:
> Logon Failure:
> Reason: Unknown user name or bad password
> User Name: pmillan
> Domain: HPPATMIL
> Logon Type: 3
> Logon Process: NtLmSsp
> Authentication Package: NTLM
> Workstation Name: HPPATMIL
> Caller User Name: -
> Caller Domain: -
> Caller Logon ID: -
> Caller Process ID: -
> Transited Services: -
> Source Network Address: 10.6.5.17
> Source Port: 0
>
>
> For more information, see Help and Support Center at
> http://go.microsoft.com/fwlink/events.asp.
>
> Logon Failure:
> Reason: Unknown user name or bad password
> User Name: svides
> Domain: HP69321282140
> Logon Type: 3
> Logon Process: NtLmSsp
> Authentication Package: NTLM
> Workstation Name: HP69321282140
> Caller User Name: -
> Caller Domain: -
> Caller Logon ID: -
> Caller Process ID: -
> Transited Services: -
> Source Network Address: 10.6.5.101
> Source Port: 0
>
>
> For more information, see Help and Support Center at
> http://go.microsoft.com/fwlink/events.asp.
>
> Logon Failure:
> Reason: Unknown user name or bad password
> User Name: iuribe
> Domain: AMK28
> Logon Type: 3
> Logon Process: NtLmSsp
> Authentication Package: NTLM
> Workstation Name: AMK28
> Caller User Name: -
> Caller Domain: -
> Caller Logon ID: -
> Caller Process ID: -
> Transited Services: -
> Source Network Address: 10.6.5.210
> Source Port: 0
>
>
>
> --
>
> Cordialmente, Julio Ruiz
 
J

Julio Ruiz

Gracias Rodrigo, lo raro es que los usuarios que son compañeros de
confianza, me comentan que no se loguean a esas máquinas o servidores para
nada y el administrador del dominio dice que hay demasiados registros y que
se nota un leve aumento en el tráfico de la red.

Que opinas?

"Rodrigo de los Santos" <rodrigo at dlssolutions dot net> escribió en el
mensaje de noticias:972D017B-67B9-4554-86ED-002FFF381D79@microsoft.com...
> Evidentemente el evento indica que alguien trato de loguearse a esas
> estaciones de trabajo con esos usuarios en ese momento y no pudo. Si ese
> usuario existe y se loguea a esa estación de trabajo probablemente sea un
> error de ese o esos usuarios. Ahora si esos usuarios no existen o no
> están dentro de su turno deberías investigar esas máquinas para ver quien
> estaba sentado a esa hora en particular
>
> --
>
> Saludos
>
> Rodrigo de los Santos
> rodrigo.delossantos at mug.org.ar
> rodrigo at dlssolutions.net
> ------------------------------------------------
> MVP - Windows Server - Group Policy
> MCP - CCA - CNA
> Miembro del MUG Argentina (suscribite! http://www.mug.org.ar)
> ------------------------------------------------
> Url: http://www.dlssolutions.net
> Blog: http://nerdsupport.blogspot.com
> ------------------------------------------------
>
> "Julio Ruiz" <juliocruizr@hotmail.com> wrote in message
> news:uMZMXUxGIHA.5276@TK2MSFTNGP04.phx.gbl...
>> Buenos Días,
>>
>> Un administrador de una LAN a la cual está ligada mi empresa me está
>> entregando los siguientes reportes sobre supuestos "ataques" a la red por
>> parte de unos equipos que conforman mi área, la descripción se las
>> adjunto al final del correo. Alguien puede corroborarme esto? Agradezco
>> de antemano su información:
>>
>> Event Type: Failure Audit
>> Event Source: Security
>> Event Category: Logon/Logoff
>> Event ID: 529
>> Date: 30/10/2007
>> Time: 09:33:56 a.m.
>> User: NT AUTHORITY\SYSTEM
>> Computer: ESALAZAR
>> Description:
>> Logon Failure:
>> Reason: Unknown user name or bad password
>> User Name: pmillan
>> Domain: HPPATMIL
>> Logon Type: 3
>> Logon Process: NtLmSsp
>> Authentication Package: NTLM
>> Workstation Name: HPPATMIL
>> Caller User Name: -
>> Caller Domain: -
>> Caller Logon ID: -
>> Caller Process ID: -
>> Transited Services: -
>> Source Network Address: 10.6.5.17
>> Source Port: 0
>>
>>
>> For more information, see Help and Support Center at
>> http://go.microsoft.com/fwlink/events.asp.
>>
>> Logon Failure:
>> Reason: Unknown user name or bad password
>> User Name: svides
>> Domain: HP69321282140
>> Logon Type: 3
>> Logon Process: NtLmSsp
>> Authentication Package: NTLM
>> Workstation Name: HP69321282140
>> Caller User Name: -
>> Caller Domain: -
>> Caller Logon ID: -
>> Caller Process ID: -
>> Transited Services: -
>> Source Network Address: 10.6.5.101
>> Source Port: 0
>>
>>
>> For more information, see Help and Support Center at
>> http://go.microsoft.com/fwlink/events.asp.
>>
>> Logon Failure:
>> Reason: Unknown user name or bad password
>> User Name: iuribe
>> Domain: AMK28
>> Logon Type: 3
>> Logon Process: NtLmSsp
>> Authentication Package: NTLM
>> Workstation Name: AMK28
>> Caller User Name: -
>> Caller Domain: -
>> Caller Logon ID: -
>> Caller Process ID: -
>> Transited Services: -
>> Source Network Address: 10.6.5.210
>> Source Port: 0
>>
>>
>>
>> --
>>
>> Cordialmente, Julio Ruiz

>
 
R

Rodrigo de los Santos

Primero que nada deberían empezar a auditar eventos exitosos para ver si
esos ataques tienen un resultado positivo (con la auditoría de los failures
vos sabes cuando NO PUEDEN... pero nunca te enteras si entraron)

Luego deberías ubicar esas PC y tratar de investigar que usuario se sentó en
esos momentos (o si quedó también algún proceso que se esté logueando con
esos usuarios) ... probablemente estén tratando de acceder a la red con ese
usuario y están haciendo intentos de claves.

Si los usuarios son de confianza recomendales que cambien ya la contraseña
o, en lo posible, que cambien de usuario. Habilita las políticas de Account
Lockout para bloquear las cuentas para evitar intentos de Fuerza Bruta (si
es que se están originando)



--

Saludos

Rodrigo de los Santos
rodrigo.delossantos at mug.org.ar
rodrigo at dlssolutions.net
------------------------------------------------
MVP - Windows Server - Group Policy
MCP - CCA - CNA
Miembro del MUG Argentina (suscribite! http://www.mug.org.ar)
------------------------------------------------
Url: http://www.dlssolutions.net
Blog: http://nerdsupport.blogspot.com
------------------------------------------------

"Julio Ruiz" <juliocruizr@hotmail.com> wrote in message
news:OcJsiS0GIHA.4496@TK2MSFTNGP03.phx.gbl...
> Gracias Rodrigo, lo raro es que los usuarios que son compañeros de
> confianza, me comentan que no se loguean a esas máquinas o servidores para
> nada y el administrador del dominio dice que hay demasiados registros y
> que se nota un leve aumento en el tráfico de la red.
>
> Que opinas?
>
> "Rodrigo de los Santos" <rodrigo at dlssolutions dot net> escribió en el
> mensaje de noticias:972D017B-67B9-4554-86ED-002FFF381D79@microsoft.com...
>> Evidentemente el evento indica que alguien trato de loguearse a esas
>> estaciones de trabajo con esos usuarios en ese momento y no pudo. Si ese
>> usuario existe y se loguea a esa estación de trabajo probablemente sea un
>> error de ese o esos usuarios. Ahora si esos usuarios no existen o no
>> están dentro de su turno deberías investigar esas máquinas para ver quien
>> estaba sentado a esa hora en particular
>>
>> --
>>
>> Saludos
>>
>> Rodrigo de los Santos
>> rodrigo.delossantos at mug.org.ar
>> rodrigo at dlssolutions.net
>> ------------------------------------------------
>> MVP - Windows Server - Group Policy
>> MCP - CCA - CNA
>> Miembro del MUG Argentina (suscribite! http://www.mug.org.ar)
>> ------------------------------------------------
>> Url: http://www.dlssolutions.net
>> Blog: http://nerdsupport.blogspot.com
>> ------------------------------------------------
>>
>> "Julio Ruiz" <juliocruizr@hotmail.com> wrote in message
>> news:uMZMXUxGIHA.5276@TK2MSFTNGP04.phx.gbl...
>>> Buenos Días,
>>>
>>> Un administrador de una LAN a la cual está ligada mi empresa me está
>>> entregando los siguientes reportes sobre supuestos "ataques" a la red
>>> por parte de unos equipos que conforman mi área, la descripción se las
>>> adjunto al final del correo. Alguien puede corroborarme esto? Agradezco
>>> de antemano su información:
>>>
>>> Event Type: Failure Audit
>>> Event Source: Security
>>> Event Category: Logon/Logoff
>>> Event ID: 529
>>> Date: 30/10/2007
>>> Time: 09:33:56 a.m.
>>> User: NT AUTHORITY\SYSTEM
>>> Computer: ESALAZAR
>>> Description:
>>> Logon Failure:
>>> Reason: Unknown user name or bad password
>>> User Name: pmillan
>>> Domain: HPPATMIL
>>> Logon Type: 3
>>> Logon Process: NtLmSsp
>>> Authentication Package: NTLM
>>> Workstation Name: HPPATMIL
>>> Caller User Name: -
>>> Caller Domain: -
>>> Caller Logon ID: -
>>> Caller Process ID: -
>>> Transited Services: -
>>> Source Network Address: 10.6.5.17
>>> Source Port: 0
>>>
>>>
>>> For more information, see Help and Support Center at
>>> http://go.microsoft.com/fwlink/events.asp.
>>>
>>> Logon Failure:
>>> Reason: Unknown user name or bad password
>>> User Name: svides
>>> Domain: HP69321282140
>>> Logon Type: 3
>>> Logon Process: NtLmSsp
>>> Authentication Package: NTLM
>>> Workstation Name: HP69321282140
>>> Caller User Name: -
>>> Caller Domain: -
>>> Caller Logon ID: -
>>> Caller Process ID: -
>>> Transited Services: -
>>> Source Network Address: 10.6.5.101
>>> Source Port: 0
>>>
>>>
>>> For more information, see Help and Support Center at
>>> http://go.microsoft.com/fwlink/events.asp.
>>>
>>> Logon Failure:
>>> Reason: Unknown user name or bad password
>>> User Name: iuribe
>>> Domain: AMK28
>>> Logon Type: 3
>>> Logon Process: NtLmSsp
>>> Authentication Package: NTLM
>>> Workstation Name: AMK28
>>> Caller User Name: -
>>> Caller Domain: -
>>> Caller Logon ID: -
>>> Caller Process ID: -
>>> Transited Services: -
>>> Source Network Address: 10.6.5.210
>>> Source Port: 0
>>>
>>>
>>>
>>> --
>>>
>>> Cordialmente, Julio Ruiz

>>
 
Back
Top Bottom