Cita:
Iniciado por mauriciomorenov Saludos,
Estoy recibiendo un ataque de alguien que intenta ingresar a mi servidor W2000 Server. El log de eventos de seguridad me muestra intentos cada dos segundos.
Quisiera rastrear el origen real del ataque, pues en la dirección de origen aparece el Proxy y otros equipos, algunos de la red interna y otros no.
Mao
Aisla esa máquina, averigua qué cuenta están utilizando, modifica la cuenta de administrador y la de invitado.
Si tienes un dominio cambia la política de contraseñas para que todos deban cambiar su contraseña de dominio, asi evitarás que utilicen cuentas ajenas.
Instala un Sniffer e intenta averiguar de dónde vienen exáctamente los ataques y que tráfico se está produciendo, si son ataques por fuerza bruta dudo que sean troyanos ni virus.
Instálate un IDS en algún equipo de la red, ya sea Microsoft o Linux, puedes utilizar el software freeware de Snort IDS, en
http://www.snort.org.
Coméntanos que topología de red tienes, para poder imaginarnos que puede suceder en tu caso.
Un saludo