Desesperado, no se si es un ataque

Iniciado por cogswap, 22 Agosto 2011, 21:22 PM

0 Miembros y 1 Visitante están viendo este tema.

cogswap

Hola a todos a ver si me podéis echar una manilla porque estoy desesperado.

Tengo una red de unos 60 pc´s con XP, también con 3 servidores 2003 server, conectada a otras sedes mediante vpn.

Hoy Lunes, sin saber por qué, y sin tocar nada, cuando he llegado estaba todo saturado, todo el tráfico.

Un muchos pc´s ( no en todos) se me cerraba la sesión con el usuario que tiene cada pc, y se me quedaba una pantalla de inicio de sesión con el usuario SQL, y password en blanco. Me ha pasado en muchos pc´s. Volvía a loguearme con su correspondiente usuario y de nuevo cuando quería me cerraba la sesión de los pc´s que han dado problemas y me salía de nuevo la pantalla de login con el usuario sql. Ese usuario anteriormente NO estaba creado en esos pc´s.



Después de volverme loco y tener a la gente parada, y casi parada cardíaca mía, se me ocurre en el panel de control /sistema/Remoto, desmarcar la asistencia remota y control remoto, para que nadie pueda acceder ya que me he dado cuenta que lo de sql son como peticiones desde algún sitio a muchos pc´s y estos se cierran. Con lo cual he hecho eso y ha mejorado.

Pero la red sigue saturada, internet va fatal, asi que he llamado a Telefónica y me han comentado en el servico Net Lan que en nuestra sede uno de los servidores tenía...900 conexiones por el puerto 3389 que según el hombre es el de Escritorio remoto, con lo cual me ha empezado a cuadrar dado el problema que he comentado antes.

He pasado antivirus, antiroot kits a esos servers y nada, no detectan nada.

Como puedo mirar quien es el pc que origina esas peticiones? sabéis de algún programa que sea fácil de verlo para ese puerto?

Saludos y gracias!

moikano→@

#1
Hola.

En mi opinión lo primero que deberías hacer es mirar las conexiones que van por tu red, es decir, que tráfico hay entre los distintos PC y servidores, tanto de salida como de entrada. Para ello puedes usar wireshark o cualquier otro programa que sirva para monitorización del tráfico de red.

Configúralo de forma que te sea fácil ver los paquetes que te interesan, en este caso los paquetes que van por el puerto 3389. En el wireshark se pueden poner colores para poder ver mejor las conexiones, esto te irá bien porque con tanto PC tendrás un gran número de paquetes por tu red LAN. También se pueden filtras las conexiones de un único host.

Mira atentamente que PC's hacen conexiones masivas a puertos, como si estuvieran haciendo un escaneado de puertos, en ese caso podría ser un worm o algún virus que intenta expandirse por tu red.

Yo si tuviera en mi labor controlar un grupo de trabajo tan grande que en caso de que se colapse, se infecte o deje de funcionar en general dejaría a una plantilla de trabajadores sin poder hacer su trabajo intentaría poner un poco de esmero en controlar la red, al menos que un servidor analizase el tráfico de red y hiciera de firewall a la vez contra ataques internos y externos.

No se como tendrás configurada la red, pero este documento que te adjunto abajo está bastante bien para hacer un servidor (o varios) que controlen la red, para poder cortar de raíz este tipo de problemas.

El pdf está aquí: http://www.proyectoamparo.net/files/InformefinalAmparo-CLCERT.pdf

Es bastante actual y no lo he montado pero tiene pinta de ir bien para estas cosas.


CitarTengo una red de unos 60 pc´s con XP, también con 3 servidores 2003 server, conectada a otras sedes mediante vpn.

Cuidado con la VPN, porque si han conseguido entrar en la red podrían haber entrado también en las VPN y seguir por ahí. Consúltalo con los administradores de esas redes. Y si te encargas tu mismo de ellas haz lo mismo, vigila el tráfico.

Citarlos servidores tenía...900 conexiones por el puerto 3389 que según el hombre es el de Escritorio remoto

CitarVolvía a loguearme con su correspondiente usuario y de nuevo cuando quería me cerraba la sesión de los pc´s que han dado problemas y me salía de nuevo la pantalla de login con el usuario sql.

Mira si en los ordenadores afectados tienes usuarios que no están puestos con el consentimiento de la administración. Y también si se ha habilitado el escritorio remoto sin vuestro consentimiento. Si es así seguro que os ha entrado algún bicho.


Bueno, espero haber ayudado y suerte con tu administración.

Unos ultimos consejos, elimina servicios que no necesites y deja solo los puertos extrictamente necesarios, manten actualizados tanto los PC's como los servidores (en la medida de lo posible, ya que son Windows 2003 y XP) y pasaros a Linux, es mas seguro que windows y mas económico ;)

Saludos

Milo_EscorpioNN

Si es un ataque porque windows server 2003 es vulnerable a muchos ataques y windows xp desactualizado tambien te diria q instales windows 7 en esas pcs o que actualizes dichos sistemas operativos.

http://www.serviciosbyte.com.ar/ << Portal FORO Wireless

Novlucker

Y quién paga las licencias? :D Revisa el tráfico de red con Wireshark

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

Milo_EscorpioNN

yo actualize sin pagar licencias los parches de actualizacion los buscas por google.

http://www.serviciosbyte.com.ar/ << Portal FORO Wireless

Novlucker

Entiendo que esta en una red en un entorno empresarial, por lo general en esos sitios deberían de pagar licencias, no puedes simplemente buscar en google para instalar el Win pirata de turno

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

Novlucker

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

nkni

No obstante a pesar de las soluciones ofrecidas anteriormente, manten actualizados los equipos.

Y mira estos puertos tambien:

Son muy comunes en diversos ataques, troyanos, back orifice 2000, remote adminstration tool -RAT, Attaques Ftp, back construction... entre otros.

6665
666
1095
1098
1097
54320

jpmo4

Podras llevarme a mi novia, incluso hasta a mi perro, pero a mi computadora... jamas