Rdp-tcp#x+1 incrementa sesiones

vchavarria · #1 (**permalink**) 22/09/2012, 09:59

HOLA BUENOS DIAS COLEGAS

AQUI CON UNA DUDA , SI ME PUEDEN AYUDAR

TENGO UN WINDOWS SERVER 2003 Y AHY ESTA CORRIENDO UN SERVER TERMINAL
SOLO SE CONECTAN 6 USUARIOS PARA ACCESAR A APLICACION DE SAP EN OTRO SERVIDOR EL PROBLEMA ES QUE CUANDO SE CONECTAN MIS USUARIOS AL TERMINAL SERVER EN EL CONTADOR (ASI LO TENGO CONOCIDO YO )

DEL RDP-TCP#1 SE VAN INCREMENTANDO EN UNO + UNO CADA VEZ QUE MIS USUARIOS SE CONECTAN, AHORITA LO TENGO EN EL NUMERO 5401 Y SOLO SON SEIS USUARIOS ,

LO MAS RARO QUE EH VISTO ES QUE VEO COMO QUE ALGUIEN SE TRATA DE CONECTAR AL TERMINAL PERO NO ES ASI SOLO APARECE UNA CONCEXION COMO QUERIENDO ACCESAR Y AVANZA EN EL CONTEO Y TAMBIEN VEO QUE CUANDO SUCEDE ESTO , LOS PROCESOS AUMENTAN Y BAJAN EN EL TASK MANAGER.

MISERVIDOR TIENE 4 GB DE MEMORIA LO CUAL PARA SESION TERMINAL EN SEIS USUARIOS SEME HACE MUCHO PARA QUE SE CONSUMO MUCHO RECURSO

ALGUIEN TIENE UNA IDEA QUE PUEDA SER?

rrodes75 · #2 (**permalink**) 05/10/2012, 18:41

Hola vchavarria!!

Que tal?? Pudiste resolver el problema con las conexiones términal??

Bueno, pues yo tengo el mismo problema que tu, se producen conexiones "anomimas o misteriosas" de forma continuada durante un periodo de tiempo, realizando unas 100 o más conexiones.

Estoy buscando información al respecto y he podido encontrar algo referente a un Virus llamado Win32/Morto, que parece ser que ataca al RDP, entre otros. Yo he estado viendo el foro de "infoSpyware.com", del cual he obtenido esta info. Sigo buscando más información puesto que en este foro (infospyware) hablan de XP (al menos los que he leído). Aunque tengo la duda de si se encuentra realmente en el servidor 2003, o si está en algún otro equipo de la red (sigo buscando).

Bueno, pues de momento no he realizado los pasos que aparecen en "infoSpyware", pero lo trataré de hacer con cuidado, a menos que encuentre algo mas concreto para 2003 Server.

Si consigo cualquier cosa, te lo hago saber. También te pediría que si lo has resuelto o encontrado alguna aplicación o antivirus que lo limpie bien (parece que es algo dificil de limpiar) pues que me lo comunicaras también.

Muchas gracias de antemano, y como te he dicho, en cuanto me ponga manos a la obra, con lo que consiga te lo comunico.

Un saludo,

;)

vchavarria · #3 (**permalink**) 06/10/2012, 10:46

hola como estas RRodes primero que nada gracias por contestar , y tomate el tiempo para escribir la respuesta o informacion respecto a mi duda

en efecto si encontre algo, referente al problema, y estas en toda la razon es el virus Win32/Morto.A yo enctontre algunos links y entre ellos creo que ya esta la forma de solucionarlo , yo tambien anduve como loko navegando y encontre esto, y te lo comparto a ti y a las demas personas del foro.

te soy sincero no lo eh checado solo se que si probablemente esta la solucion ahy

esta en ingles pero eso es lo de menos sisabes no tendras problemas sino traductor google no te acabes.

anexo los links .

http://blogs.dirteam.com/blogs/sanderberkouwer/archive/2011/09/02/how-to-effectively-defend-against-morto-a-in-the-enterprise.aspx

http://www.microsoft.com/security/portal/

http://social.technet.microsoft.com/Forums/es-ES/wstses/thread/aa49e872-21bf-4c25-8488-fd7607b0e23e

esto es lo que encontrado espero te sea de ayuda, si lopudiste resolverme dices por que ando con otras broncas de momento .

saludos desde monterrey, mexico.

rrodes75 · #4 (**permalink**) 08/10/2012, 05:48

Hola vchavarria!!

buenas tardes desde España!!

, bueno, muchas gracias por contestar tan rápido.

Pues de momento lo que he realizado es un chequeo del servidor con "panda active scan (online)", también "f-secure online", y no me detectaron nada de Morto, pero sin embargo sigue habiendo intentos de conexión RDP continuados cada cierto tiempo.

Lo que he hecho este fin de semana, desde casa, puesto que el server lo tengo en la empresa, es vigilar las conexiones rdp que se activaban en el momento y he visto en un registro que tengo activado en "pfsense" el firewall, 4 ips públicas que son causantes de estas conexiones continuadas, por lo que he añadido reglas de bloqueo para, de momento, minimizar el riesgo, jeje,

Las ips que he localizado son: (95.225.126.5 - 188.65.209.155 - 87.29.123.32 - 173.204.32.211), todas comprobadas en "www.iplocationfinder.com" y todas de fuera de España. ;)

bueno, voy a echar un vistazo a lo que me has pasado y a ponerme manos a la obra, y ya te cuento con lo que encuentre y/o resuelva.

Muchas gracias otra vez.

Un saludo,

Roberto Rodes.

PD: Una cosilla, por si te suena de algo, tengo McAfee instalado y tengo activado el control de acceso, y tengo un mensaje en el log casi de continuo con este texto:

"Bloqueado por regla de protección de acceso NT AUTHORITY\SYSTEM C:\WINDOWS\System32\svchost.exe C:\Program Files (x86)\Java\jre7\bin\client\jvm.dll Protección máxima de antivirus:Impedir que svchost ejecute archivos ejecutables que no sean de Windows Acción bloqueada: Ejecutar"

¿Te suena de qué puede ser? me pondré a buscar info de esto en terminar con el "Proyecto MORTO" jejeje. ;)

vchavarria · #5 (**permalink**) 08/10/2012, 06:49

hola COMO ESTAS RRODES gusto en volverte en saludar y vi enlas noticias que españa esta pasando una crisis muy fea con relacion al desempleo y cuestiones atmosfericas , espero que estes bien amigo, y ke esa situacion pase pronto,

bueno segun lo que me cuentas , puede que esos ataques que estas sufriendo al igual que yo , encontre otras ips publikas, lo cual me lleva la teoria que probablemente vengan de un hosting como dyndns o no-ip en donde este actulizando la ip a cada momento y sea dificilde detectar sea onosea virus , es un atake de seguridad me imagino que envia algun tipo cifrado y prueba la conexcion RPD con difrentes usuarios o contraseñas haber cual es .

osea en resumidas palabras puede ser que escriba el ataque usuarios y contraseñas al azar para ver silogra burlar la seguridad del server
yo de momento lo que hice fue lo siguente:

-para el servicio de terminal server.
-limpiar todos los temporales con ccleaner.
-correr el mcafe antivirus ( elcualnodetecto nada).
-corri el malwarebites te lo recomiendo (encontre como 8 piojos en el server).
- eliminar cuentas ke ya nose usan para laconexcion
- te recomiendo poner contraseñas concaracteres especiales para elacceso tanto para cuenta administrador , como para los usuarios remotos.
- eliminar servicios que no estes usando dentro del servidor .
- checar que programas tienes instalados enelserver y bajar los ultimos parches de seguridad.

demomento es lo que he hecho y se ah aplacado los intentos de conexciones.
(eso no viene enla informacion quete pase),
pero al igual lo voy ainterntar con lo que pase de los links.

me dices que detectates saludos

rrodes75 · #6 (**permalink**) 10/10/2012, 10:29

Buenas tardes, VChavarria, desde España!! :)

Pues sí, aquí está la cosa chunga con el tema laboral, demasiados políticos creo yo, jeje, y las tormentas en Murcia y Almería, que han arrasado algunos pueblos o parte de estos, vaya tela, en fin.... en mi zona no llovió practicamente nada.

Bueno, pues te cuento: He realizado algunas de las tareas que tu también has hecho, como
- quitar usuarios del AD que no son necesarios,
-cambiar contraseñas a más fuertes (ya las tenía mas o menos fuertes pero descubrí que alguna débil que otra),
-le pasé malwareBytes, f-secure online, panda online.... y todo OK.
=> Me falta pasar el CCLEANER.
=> Me falta revisar los servicios.

Una de las tareas que he realizado con especial atención es revisar los cambios significativos que este virus "MORTO" realiza, según marca microsoft en este enlace: http://www.microsoft.com/security/portal/Threat/Encyclopedia/Search.aspx?query=morto

he revisado equipo por equipo y NINGUNO tiene nada de nada, ni los servidores ni los clientes. Por lo que supongo que los equipos no han llegado a infectarse de este virus.

Aun así, sigo teniendo ataques al puerto RDP, con diferentes direcciones ip públicas. No sé que más hacerle, y no creo que el "FireWall Pfsense" sea el causante, puesto que es LINUX, y creo que Morto sólo es para W32.

En fin, quiero cambiar la forma de conectar de forma remota al servidor, aunque tengan que poner 3 claves distintas, jijijij, puesto que yo si que necesito la conexion términal en mi empresa.

Una de las cosas que estoy buscando es la opción de poder automatizar el tiempo de escucha del puerto terminal (sea el 3389 u otro asignado para esto), de forma que pueda "encenderlo/apagarlo" en la franja horaria que yo deseé. Si sabes de alguna cosilla...se admiten sugerencias..

tengo que revisar,por cierto, el propio router de internet, a ver que configuraciones tiene.

Bueno, ya me cuentas cómo te va a ti.

Un saludo,

Roberto Rodes.

vchavarria · #7 (**permalink**) 10/10/2012, 10:58

hola como estas Rrodes espero que bien me imagino que ya es denoche o esta anochesiendo haya en españa aca estamos ahorita alas 12 d elamediodia :() hora de comida ,

bueno no eh intentado nada puesto que el servidor yano ah presentado problemas,
pero si kiero hacer pruebas , bueno encuento a la conexcion ke kieres hacer mmm nose como tengas la conecion al servidor me imagino ke un isp ( tu proveedor d einternet) te renta ips publicas y sales por el enlace de ellos a la nube o hacia internet.

para usar el puerto 3389 por que no haces lo siguente.

-crea un host en www.no-ip.com
-despues en tu router abre el puerto 3389 y en los servicios de Dynamicsdns agrega tu host.

ejemplo : miservidor.no-ip.org

y en vez de salir por la ip publica quete renta tu proveedor de internet,
sal por el host de no-ip

y en el cliente en vez de poner la ippublica en el acceso remoto

tendras que poner elnombre del host. que creaste de estamanera te coenctaras a tu servidor no por tu provedor sino por el servicio de no-ip es seguro ya que yo tengo como 15 host con camaras de seguridad que salen atraves (esto para anopagar renta de ips publicas).

espero que te haya ayudadado o pasame un correo y te agrego te comparto mi idea mas afondo

rrodes75 · #8 (**permalink**) 14/10/2012, 14:13

Hola vchevarria!!

Que tal todo?? por aquí de momento bien, jeje.

Bueno, pues contarte que, después de haber chequeado todos los equipos de la red y llegar a la conclusión de que éstos no tienen las modificiaciones/añadidos que según la documentación de microsoft refleja respecto a Morto, pues he optado, de momento, a cambiar el puerto de escucha en el propio rourter y redireccionarlo posteriormente mediante pfsense al servidor. De momento, en 3 días que llevo observando los registro, ya no tengo peticiones/ataques de conexiones TS.

Seguiré revisando los logs por si las moscas, y también quiero estudiar esto que me propusiste puesto que creo que me puede ser de interés. Respecto a mi mail, añade @gmail.com y voilá, jejej. ;)

Un abrazo, y estamos en contacto. cualquier novedad te lo haré saber. Muchas gracias por tu ayuda y por tu aportación, la cual voy a estudiar a ver si me interesa más. Gracias!!

;)