Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Temas - cogswap

#1
Seguridad / Desesperado, no se si es un ataque
22 Agosto 2011, 21:22 PM
Hola a todos a ver si me podéis echar una manilla porque estoy desesperado.

Tengo una red de unos 60 pc´s con XP, también con 3 servidores 2003 server, conectada a otras sedes mediante vpn.

Hoy Lunes, sin saber por qué, y sin tocar nada, cuando he llegado estaba todo saturado, todo el tráfico.

Un muchos pc´s ( no en todos) se me cerraba la sesión con el usuario que tiene cada pc, y se me quedaba una pantalla de inicio de sesión con el usuario SQL, y password en blanco. Me ha pasado en muchos pc´s. Volvía a loguearme con su correspondiente usuario y de nuevo cuando quería me cerraba la sesión de los pc´s que han dado problemas y me salía de nuevo la pantalla de login con el usuario sql. Ese usuario anteriormente NO estaba creado en esos pc´s.



Después de volverme loco y tener a la gente parada, y casi parada cardíaca mía, se me ocurre en el panel de control /sistema/Remoto, desmarcar la asistencia remota y control remoto, para que nadie pueda acceder ya que me he dado cuenta que lo de sql son como peticiones desde algún sitio a muchos pc´s y estos se cierran. Con lo cual he hecho eso y ha mejorado.

Pero la red sigue saturada, internet va fatal, asi que he llamado a Telefónica y me han comentado en el servico Net Lan que en nuestra sede uno de los servidores tenía...900 conexiones por el puerto 3389 que según el hombre es el de Escritorio remoto, con lo cual me ha empezado a cuadrar dado el problema que he comentado antes.

He pasado antivirus, antiroot kits a esos servers y nada, no detectan nada.

Como puedo mirar quien es el pc que origina esas peticiones? sabéis de algún programa que sea fácil de verlo para ese puerto?

Saludos y gracias!