Hola amigos necesito de su valiosa ayuda, recientemente un servidor a mi cargo con Windows Server 2008 R2 fue vulnerado, lo supe enseguida porque tenia aplicaciones instaladas tales como (Traffic Spirit) para generar trafico, y otra aplicacion que se llama CEO "algo" no recuerdo el nombre completo, ademas me cambiaron la clave del administrador, aunque esto ultimo si pude recuperarlo. ¿Que me recomiendan hacer?, la verdad es que me considero novato en la parte de seguridad. Hice un scan de los puertos activos y vi que tenia abierto estos puertos:
Port 53 (TCP) / Microsoft DNS 6.1.7601
Port 88 (TCP) / Windows 2003 Kerberos server time: 2016-10-20 15:54:02Z
Port 135 (TCP) / Microsoft Windows RPC
Port 139 (TCP) / netbios-ssn
Port 389 (TCP) / ldap
Port 443 (TCP) / Tunnel is Microsoft IIS SSL: Microsoft HTTPAPI httpd 2.0 SSDP/UPnP
Port 445 (TCP) / netbios-ssn
Port 464 (TCP)
Port 593 (TCP) / Microsoft Windows RPC over HTTP 1.0
Port 1433 (TCP) / Microsoft SQL Server 2008 R2
Port 1723 (TCP)
Port 2511 (TCP) / Microsoft IIS httpd 7.5
Port 2512 (TCP) / Microsoft IIS httpd 7.5
Port 3268 (TCP) / ldap
Port 3389 (TCP) / Microsoft Terminal Service
Port 5722 (TCP)
Port 9389 (TCP)
Port 47001 (TCP)
Port 49152 (TCP)
Port 49153 (TCP)
Port 49154 (TCP)
Port 49156 (TCP)
Port 49157 (TCP)
Port 49158 (TCP)
Port 49166 (TCP)
Port 49171 (TCP)
Port 49182 (TCP)
Port 49190 (TCP)
Port 50113 (TCP)
Se que puedo cerrarlo con el firewall de Windows. Las aplicaciones que uso en el servidor utilizan los puertos: 1433, 2511, 2512, 3389, 53, algunos otros de esta lista se que son puertos regulares del Windows pero cuales deberia cerrar?, ya que segun veo aca veo otros puertos fantasmas abiertos.... Tambien queria saber cuales son los puertos regulares de Window Server 2008 R2 ya que solo uso alli SQL Server y AD. Lo otro es que tengo un firewall configurado para que el puerto 3389 sea el unico redireccionable al servidor.
Finalmente les pregunto que me medidas deberia tomar?
1) ¿Formatear el Servidor?
2) ¿Es posible asegurar la red y el servidor sin necesidad de formatearlo?
3) Que aplicaciones gratuitas me recomiendan para monitorear estas actividades.
Port 53 (TCP) / Microsoft DNS 6.1.7601
Port 88 (TCP) / Windows 2003 Kerberos server time: 2016-10-20 15:54:02Z
Port 135 (TCP) / Microsoft Windows RPC
Port 139 (TCP) / netbios-ssn
Port 389 (TCP) / ldap
Port 443 (TCP) / Tunnel is Microsoft IIS SSL: Microsoft HTTPAPI httpd 2.0 SSDP/UPnP
Port 445 (TCP) / netbios-ssn
Port 464 (TCP)
Port 593 (TCP) / Microsoft Windows RPC over HTTP 1.0
Port 1433 (TCP) / Microsoft SQL Server 2008 R2
Port 1723 (TCP)
Port 2511 (TCP) / Microsoft IIS httpd 7.5
Port 2512 (TCP) / Microsoft IIS httpd 7.5
Port 3268 (TCP) / ldap
Port 3389 (TCP) / Microsoft Terminal Service
Port 5722 (TCP)
Port 9389 (TCP)
Port 47001 (TCP)
Port 49152 (TCP)
Port 49153 (TCP)
Port 49154 (TCP)
Port 49156 (TCP)
Port 49157 (TCP)
Port 49158 (TCP)
Port 49166 (TCP)
Port 49171 (TCP)
Port 49182 (TCP)
Port 49190 (TCP)
Port 50113 (TCP)
Se que puedo cerrarlo con el firewall de Windows. Las aplicaciones que uso en el servidor utilizan los puertos: 1433, 2511, 2512, 3389, 53, algunos otros de esta lista se que son puertos regulares del Windows pero cuales deberia cerrar?, ya que segun veo aca veo otros puertos fantasmas abiertos.... Tambien queria saber cuales son los puertos regulares de Window Server 2008 R2 ya que solo uso alli SQL Server y AD. Lo otro es que tengo un firewall configurado para que el puerto 3389 sea el unico redireccionable al servidor.
Finalmente les pregunto que me medidas deberia tomar?
1) ¿Formatear el Servidor?
2) ¿Es posible asegurar la red y el servidor sin necesidad de formatearlo?
3) Que aplicaciones gratuitas me recomiendan para monitorear estas actividades.