Detectar ip de red interna infectada, como?¿

Iniciado por gh1E, 9 Marzo 2011, 18:55 PM

0 Miembros y 1 Visitante están viendo este tema.

gh1E

Hi bros;

Asi de simple la pregunta, quizá existe algún software para detectar si una ip de mi red interna esta infectada con algún malware, ya q tengo mas de 100 pcs bajo un servidor centos, y se que una de ellas esta provocando que mi ip pública ingrese a lista negra, ahora comento, que ya e probado, algunas opciones como ver en logs, pero ahi no me desplega de donde sale ese spam..x fa una luz se agradece de antemano la gran ayuda q me brinden..

Saluds  ::)
Si no lo sabes...averigua...
SEr o nO SeR ...( y eso a quien le importa???)

y0g-s0th0th

lo q pasa es q "algun malware" es muy generico, en la epoca del conficker me acuerdo q lo detectaba con un modificador de nmap en redes grandes, pero son casos muy puntuales.

yo creo q tendrias q poner algun tipo de antivirus en version corporativa con servidor central q haga deploy de las bases, checkee los clientes y todo eso.

sino simplemente hacelos salir x proxy y cortales todo otro acceso hacia afuera. con eso no creo q llegue muy lejos la mayoria de los "bichos".


saludos
Para invocar a Yog-Sothoth habrás de esperar a que el sol penetre en la quinta mansión, con Saturno en trino; luego has de trazar el pentáculo de fuego, recitando el noveno verso tres veces; y, repitiéndolo todos los años cuando la Noche del árbol de Mayo y en la de Difuntos, harás que el Ser se engendre en los Espacios Exteriores, más allá de la puerta que custodia Yog-Sothoth.

Foxy Rider

#2
¿Lista negra de qué ? .. Usando algún software que te permita analizar el tráfico como por ejemplo Wireshark, podés ver cual máquina está generando el tráfico "rebelde" para con ese servicio que te agrega a blacklist, así podés limpiarla...

Saludos.

P.S: si nos comentás un poquito más de la situación de esa red podríamos darte mejores sugerencias, algo que tentativamente pienso es esto -> http://en.wikipedia.org/wiki/Intrusion_detection_system ... independientemente de ese problema que tengas, aunque quizá no es lo que necesitás, quizá es demasiado o quizá poco ...

K@0$

Tienes acceso a esos pcs?

Si es asi, ponle un escaner a cada uno con malwarebytes o algun similar...

Y no estaria de mas que instalaras algun antivirus para prevenir estos casos  ;)
"El Conocimiento Humano pertenece al Mundo"



gh1E

hi bross,

Muchas gracias por sus respuestas inmediatas, son de mucha ayuda, ahora voy a comentar para q quiza un poquito mas claro mi problema, en si para mi es un poco imposible instalar un software en más las 100 pcs bajo windows, cada una de ellas tiene el nod como av, a lo q comentaba sobre listas negras es en spamahus y en verdad no es nada útil estar sacando a mi servidor de esas blacklist, todo los días, lo q sucede q una de las pcs de mi red, tiene un malware que la usa para enviar spam por medio del puerto smtp hacia el exterior, y mi pregunta basicamente era..si existe alguna forma de poder detectar por medio de mi servidor centos 5.4 cual de todas las pcs esta provocando ese tráfico¿?, o quiza alguna forma de cerrar el puerto pero que sigan funcionando los correos x outlook, asi me parece q podría evitar q salgan los masivos.

Agradezco nuevamente x su ayuda, saluds a to2  ::)
Si no lo sabes...averigua...
SEr o nO SeR ...( y eso a quien le importa???)

y0g-s0th0th

si manda x smtp propio tiene demasiado acceso a internet, como te decia antes, siendo tantas pcs deberian salir x proxy para tener mas control.

con wireshark, como decian mas arriba tal vez podrias identificarla, pero con esa estructura en la red te va a volver a pasar cada tanto lo mismo.


saludos
Para invocar a Yog-Sothoth habrás de esperar a que el sol penetre en la quinta mansión, con Saturno en trino; luego has de trazar el pentáculo de fuego, recitando el noveno verso tres veces; y, repitiéndolo todos los años cuando la Noche del árbol de Mayo y en la de Difuntos, harás que el Ser se engendre en los Espacios Exteriores, más allá de la puerta que custodia Yog-Sothoth.

K@0$

Cita de: y0g-s0th0th en 11 Marzo 2011, 00:37 AM
si manda x smtp propio tiene demasiado acceso a internet, como te decia antes, siendo tantas pcs deberian salir x proxy para tener mas control.

con wireshark, como decian mas arriba tal vez podrias identificarla, pero con esa estructura en la red te va a volver a pasar cada tanto lo mismo.


saludos

Tienes razon, prueba con wireshark ;)
"El Conocimiento Humano pertenece al Mundo"