Tweet
Hola gente:
Hace tiempo abri un post con este tema, pero es que ando bastante perdido y vuelvo al lio.
Tengo un servidor Windows 2012 VPS contratado y llevan 2 días intentando acceder a el, en el registro de eventos en seguridad tengo 500 eventos como este:
Error de una cuenta al iniciar sesión.
Sujeto:
Id. de seguridad: SYSTEM
Nombre de cuenta: XXXXXXX
Dominio de cuenta: XXXXXXXX
Id. de inicio de sesión: 0x3E7
Tipo de inicio de sesión: 8
Cuenta con error de inicio de sesión:
Id. de seguridad: NULL SID
Nombre de cuenta: testing (aquí han probado de todo)
Dominio de cuenta: \
Información de error:
Motivo del error: Nombre de usuario desconocido o contraseña incorrecta
Estado: 0xC000006D
Subestado: 0xC0000064
Información de proceso:
Id. de proceso del autor de la llamada: 0x494
Nombre de proceso del autor de la llamada: C:\Windows\System32\svchost.exe
Información de red:
Nombre de estación de trabajo: XXXXXXX (aquí aparece el nombre del servidor VPS)
Dirección de red de origen: -
Puerto de origen: -
Información de autenticación detallada:
Proceso de inicio de sesión: Advapi
Paquete de autenticación: Negotiate
Servicios transitados: -
Nombre de paquete (solo NTLM): -
Longitud de clave: 0
Este evento se genera cuando se produce un error en una solicitud de inicio de sesión. Lo genera el equipo al que se intentó tener acceso. y bla bla ba
Cuando aparece la IP, tengo una regla en el cortafuegos que bloquea las IP que les pongo, pero es que en estos últimos casos no aparece la IP
La cuenta del administrador esta deshabilitada, el acceso por escritorio remoto a través de VPN, la VPN si tengo acceso desde cualquier IP, las contraseñas complejas, etc
Como puede saber desde que IP y puerto están accediendo? como lo corto?
Muchas gracias
Hace tiempo abri un post con este tema, pero es que ando bastante perdido y vuelvo al lio.
Tengo un servidor Windows 2012 VPS contratado y llevan 2 días intentando acceder a el, en el registro de eventos en seguridad tengo 500 eventos como este:
Error de una cuenta al iniciar sesión.
Sujeto:
Id. de seguridad: SYSTEM
Nombre de cuenta: XXXXXXX
Dominio de cuenta: XXXXXXXX
Id. de inicio de sesión: 0x3E7
Tipo de inicio de sesión: 8
Cuenta con error de inicio de sesión:
Id. de seguridad: NULL SID
Nombre de cuenta: testing (aquí han probado de todo)
Dominio de cuenta: \
Información de error:
Motivo del error: Nombre de usuario desconocido o contraseña incorrecta
Estado: 0xC000006D
Subestado: 0xC0000064
Información de proceso:
Id. de proceso del autor de la llamada: 0x494
Nombre de proceso del autor de la llamada: C:\Windows\System32\svchost.exe
Información de red:
Nombre de estación de trabajo: XXXXXXX (aquí aparece el nombre del servidor VPS)
Dirección de red de origen: -
Puerto de origen: -
Información de autenticación detallada:
Proceso de inicio de sesión: Advapi
Paquete de autenticación: Negotiate
Servicios transitados: -
Nombre de paquete (solo NTLM): -
Longitud de clave: 0
Este evento se genera cuando se produce un error en una solicitud de inicio de sesión. Lo genera el equipo al que se intentó tener acceso. y bla bla ba
Cuando aparece la IP, tengo una regla en el cortafuegos que bloquea las IP que les pongo, pero es que en estos últimos casos no aparece la IP
La cuenta del administrador esta deshabilitada, el acceso por escritorio remoto a través de VPN, la VPN si tengo acceso desde cualquier IP, las contraseñas complejas, etc
Como puede saber desde que IP y puerto están accediendo? como lo corto?
Muchas gracias
Comentario