saber quien entro a mi server

Hola grupo...

El otro día visualicé un mundo de mensajes en el visor de eventos sección
System:

Event Type: Warning
Event Source: MSFTPSVC
Event Category: None
Event ID: 100
Date: 8/20/2009
Time: 11:27:32 AM
User: N/A
Computer: SERVER
Description:
The server was unable to logon the Windows NT account 'julian' due to the
following error: Logon failure: unknown user name or bad password. The
data is the error code.
...

así como para 'Julian' habia para 'Tom'.etc...etc.miles de eventos
de un solo día. Nuestro ISP nos informó que ese server era fuente de SPAM.
En este server ingresan usuarios via terminal server (no van al
"desktop"...directo a la aplicación), y se le da uso de FTP Server
también.

Resulta que vi en "Terminal Server Manager" un usuario que habia creado
para bajar ciertos archivos de un FTP cuya clave era sencilla (lo cree
temporal pa pasar un archivo a un cliente, y no lo eliminé luego de
usarlo), y vi también el nombre de pc desde conde se conectaba...y lo
boté.luego noté que había una aplicación de envío masivo de correos
instalada en el server.

Deshabilité el FTP y pararon los sucesos en el visor de eventos.

Pues bien.necesito averiguar desde donde se conectó y de dónde es
el.y solo tengo todos los eventos del Visor de sucesos

Alguien me puede dar una pauta de sobre que puedo hacer? hay alguna
aplicación para "traducir" los eventos y descubrir quien fué que
ingresó???

LA configuración del equipo es:
- SO. Windows 2003 Server con SP1
- Este server está detrás de un Router marca "X" que solo tiene
habilitados los puertos de ingresos para los protocolos. http, https, ftp,
sql y terminal services. lo demas está cerrado.

de antemano gracias por sus sugerencias

saludos:

Luis Falch

No podrás averiguarlo con esa información, deberías mirar en el router si
tienes alguna posibilidad de ver las conexiones que se hacen o guardar de
alguna forma un registro de ellas para saber la IPde origen y poder
filtrarla de alguna manera

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"Luis Falch Rojas" escribió en el mensaje
news:

Hola grupo...

El otro día visualicé un mundo de mensajes en el visor de eventos sección
System:

Event Type: Warning
Event Source: MSFTPSVC
Event Category: None
Event ID: 100
Date: 8/20/2009
Time: 11:27:32 AM
User: N/A
Computer: SERVER
Description:
The server was unable to logon the Windows NT account 'julian' due to the
following error: Logon failure: unknown user name or bad password. The
data is the error code.
...

así como para 'Julian' habia para 'Tom'.etc...etc.miles de
eventos de un solo día. Nuestro ISP nos informó que ese server era fuente
de SPAM. En este server ingresan usuarios via terminal server (no van al
"desktop"...directo a la aplicación), y se le da uso de FTP Server
también.

Resulta que vi en "Terminal Server Manager" un usuario que habia creado
para bajar ciertos archivos de un FTP cuya clave era sencilla (lo cree
temporal pa pasar un archivo a un cliente, y no lo eliminé luego de
usarlo), y vi también el nombre de pc desde conde se conectaba...y lo
boté.luego noté que había una aplicación de envío masivo de correos
instalada en el server.

Deshabilité el FTP y pararon los sucesos en el visor de eventos.

Pues bien.necesito averiguar desde donde se conectó y de dónde es
el.y solo tengo todos los eventos del Visor de sucesos

Alguien me puede dar una pauta de sobre que puedo hacer? hay alguna
aplicación para "traducir" los eventos y descubrir quien fué que
ingresó???

LA configuración del equipo es:
- SO. Windows 2003 Server con SP1
- Este server está detrás de un Router marca "X" que solo tiene
habilitados los puertos de ingresos para los protocolos. http, https,
ftp, sql y terminal services. lo demas está cerrado.

de antemano gracias por sus sugerencias

saludos:

Luis Falch