Identificar intentos de acceso

28/01/2008 - 15:26 por Frank | Informe spam
Hola

Tengo un SBS 2003 R2 y llevo observando algunos días que en el informe de
rendimiento me pone unos sucesos que entiendo que son intentos de intrusión.

El tema es que yo no tengo usuarios con esos nombres por lo tanto debe andar
alguien haciendo pruebas para detectar algún usuario.

La historia es que como no me pone la IP de origen u otro dato fácil de
interpretar pues no se por donde me puede estar viniendo.

Este es el lo que me indica:

Origen: Security
Id de suceso: 680
ültima ocurrencia: 26/01/2008 11:04
Total de ocurrencias: 4 *

Inicio de sesión intentado por: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Cuenta de inicio de sesión: asdf
Estación de trabajo de origen: SERVIDOR
Código de error: 0xC0000064


Origen: Security
Id de suceso: 529
ültima ocurrencia: 26/01/2008 11:04
Total de ocurrencias: 4 *

Error al iniciar sesión:
Razón: Nombre de usuario desconocido o contraseña incorrecta
Nombre de usuario: asdf
Dominio:
Tipo de inicio de sesión: 3
Proceso de inicio de sesión: Advapi
Paquete de autenticación: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Nombre de estación de trabajo: SERVIDOR
Nombre de usuario del llamador: SERVIDOR$
Dominio del llamador: MIDOMINIO
Id de inicio de sesión del llamador: (0x0,0x3E7)
Id del proceso del llamador: 1624
Servicios transitados: -
Dirección de red de origen: -
Puerto de origen: -

Al servidor en principio no tiene acceso nadie.

El SBS no tiene el ISA server rulando. Tiene configurado el exchange,
incluido el acceso por OWA, el sharepoint, hay puntos de acceso inhalámbricos
y cara internet tengo un firewall hardware que lo único que permite es el OWA.

¿Alguien tiene alguna sugerencia?

Gracias
 

Leer las respuestas

#1 Rulo
28/01/2008 - 23:06 | Informe spam
Hola,

Suena a algo de alguna cuenta de servicio, quizás una maquina mapeada a tu
equipo. No se, mira este link a ver si te ayuda.

http://eventid.net/display.asp?even...mp;phase=1

salu2
Rulo,
MCSE, RHCE, VCP.
www.technet.es


"Frank" wrote:

Hola

Tengo un SBS 2003 R2 y llevo observando algunos días que en el informe de
rendimiento me pone unos sucesos que entiendo que son intentos de intrusión.

El tema es que yo no tengo usuarios con esos nombres por lo tanto debe andar
alguien haciendo pruebas para detectar algún usuario.

La historia es que como no me pone la IP de origen u otro dato fácil de
interpretar pues no se por donde me puede estar viniendo.

Este es el lo que me indica:

Origen: Security
Id de suceso: 680
ültima ocurrencia: 26/01/2008 11:04
Total de ocurrencias: 4 *

Inicio de sesión intentado por: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Cuenta de inicio de sesión: asdf
Estación de trabajo de origen: SERVIDOR
Código de error: 0xC0000064


Origen: Security
Id de suceso: 529
ültima ocurrencia: 26/01/2008 11:04
Total de ocurrencias: 4 *

Error al iniciar sesión:
Razón: Nombre de usuario desconocido o contraseña incorrecta
Nombre de usuario: asdf
Dominio:
Tipo de inicio de sesión: 3
Proceso de inicio de sesión: Advapi
Paquete de autenticación: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Nombre de estación de trabajo: SERVIDOR
Nombre de usuario del llamador: SERVIDOR$
Dominio del llamador: MIDOMINIO
Id de inicio de sesión del llamador: (0x0,0x3E7)
Id del proceso del llamador: 1624
Servicios transitados: -
Dirección de red de origen: -
Puerto de origen: -

Al servidor en principio no tiene acceso nadie.

El SBS no tiene el ISA server rulando. Tiene configurado el exchange,
incluido el acceso por OWA, el sharepoint, hay puntos de acceso inhalámbricos
y cara internet tengo un firewall hardware que lo único que permite es el OWA.

¿Alguien tiene alguna sugerencia?

Gracias

Preguntas similares