¿Estoy siendo hackeado? Id de evento de seguridad S-1-5-7

0

Encontré esto en mi registro de eventos, no estoy seguro si estoy

la fuente parece potencialmente peligrosa

El administrador de control de servicios (SCM) se inicia al iniciar el sistema. Es un servidor de llamada a procedimiento remoto (RPC), de modo que la configuración del servicio y los programas de control del servicio pueden manipular los servicios en máquinas remotas.

busqué en el registro de eventos de seguridad y no puedo encontrar ninguna correlación con la identificación de inicio de sesión

            1201 - Time                     : 11/19/2012 11:02:52 PM
            1202 - Source                   : Service Control Manager
            1203 - Description              : An account was logged off.

                                              Subject:
                                                Security ID:        S-1-5-7
                                                Account Name:       ANONYMOUS LOGON
                                                Account Domain:     NT AUTHORITY
                                                Logon ID:       0x13e82ef

                                              Logon Type:           3
Sebastien Stettler
fuente

Respuestas:

3

El "Origen" es lo que informa el evento al registro de eventos, no necesariamente la causa.

S-1-5-7 es la identificación de seguridad de un usuario "anónimo" , no la identificación del evento.

Según el Tipo de inicio de sesión (3), parece un acceso anónimo (permitido) a un recurso de red en su computadora (como una carpeta compartida, impresora, etc.). Entonces, nadie está pirateando, simplemente están usando un recurso que los usuarios pueden usar sin iniciar sesión con un nombre de usuario / contraseña (AKA: Anónimo).

Busque el evento de inicio de sesión coincidente (probablemente ID de evento 4624) y sus detalles deberían indicarle desde dónde están iniciando sesión (dirección IP).

Más información sobre tipos de inicio de sesión aquí .

Ƭᴇcʜιᴇ007
fuente