Ataques a W2000 Server

mauriciomorenov · #1 (**permalink**) 21/09/2006, 17:05

Saludos,

Estoy recibiendo un ataque de alguien que intenta ingresar a mi servidor W2000 Server. El log de eventos de seguridad me muestra intentos cada dos segundos.

Quisiera rastrear el origen real del ataque, pues en la dirección de origen aparece el Proxy y otros equipos, algunos de la red interna y otros no.

Mao

andrewmp · #2 (**permalink**) 22/09/2006, 09:41

cheka primero esos equipos internos haber que encuentras de pronto tienen algun troyano u otro tipo de virus, y luego explota la posibilidad de ver la parte externa de tu red.

pon algun tipo de firewall en la pc que da salidad al internet.

ruben_vmb · #3 (**permalink**) 22/09/2006, 13:39

el log de seguridad !
te muestra la ip !
cual es esta .

Hijacker · #4 (**permalink**) 22/09/2006, 14:11

Cita:

Iniciado por mauriciomorenov

Saludos,

Estoy recibiendo un ataque de alguien que intenta ingresar a mi servidor W2000 Server. El log de eventos de seguridad me muestra intentos cada dos segundos.

Quisiera rastrear el origen real del ataque, pues en la dirección de origen aparece el Proxy y otros equipos, algunos de la red interna y otros no.

Mao

Aisla esa máquina, averigua qué cuenta están utilizando, modifica la cuenta de administrador y la de invitado.

Si tienes un dominio cambia la política de contraseñas para que todos deban cambiar su contraseña de dominio, asi evitarás que utilicen cuentas ajenas.

Instala un Sniffer e intenta averiguar de dónde vienen exáctamente los ataques y que tráfico se está produciendo, si son ataques por fuerza bruta dudo que sean troyanos ni virus.

Instálate un IDS en algún equipo de la red, ya sea Microsoft o Linux, puedes utilizar el software freeware de Snort IDS, en http://www.snort.org.

Coméntanos que topología de red tienes, para poder imaginarnos que puede suceder en tu caso.

Un saludo

mauriciomorenov · #5 (**permalink**) 25/09/2006, 13:05

El origen de los intentos es variado. Pero siempre aparece un nombre de host, nunca una IP.

Los nombres de host son variados, siempre aparecen unas 100 peticiones con un nombre y luego cambia, casi nunca se repite, excepto cuando las peticiones repetitivas aparecen como si se hicieran desde el propio servidor.

Descargué el Snort, pero no lo he montado aun porque estoy montando un LINUX.

Si alguien tiene un IDS free para Windows, sería muy bueno.

Gracias.

ruben_vmb · #6 (**permalink**) 25/09/2006, 13:16

si le das un ping al host, que te marca?
esto lo instisto xq sabiendo la ip, sabes el origen del ataque, si es local o el del isp de donde proviene.

mauriciomorenov · #7 (**permalink**) 25/09/2006, 14:22

Cuando hago ping al host, no obtengo ningun resultado, pues es el nombre es "juano". Y esto no dice mucho sin un dominio.

Pero en los equipos locales si obtengo una IP. Claro que de antemano ya la conozco.

El caso es que ahora estoy viendo los equipos y son unos MAC. Con sistema operativo 10.

Mauricio

Hijacker · #8 (**permalink**) 29/09/2006, 13:52

Cita:

Iniciado por mauriciomorenov

El origen de los intentos es variado. Pero siempre aparece un nombre de host, nunca una IP.

Los nombres de host son variados, siempre aparecen unas 100 peticiones con un nombre y luego cambia, casi nunca se repite, excepto cuando las peticiones repetitivas aparecen como si se hicieran desde el propio servidor.

Descargué el Snort, pero no lo he montado aun porque estoy montando un LINUX.

Si alguien tiene un IDS free para Windows, sería muy bueno.

Gracias.

Snort originariamente era Linux only osea que si lo quieres montar en una Linux distro pues adelante porque funciona incluso mejor que el de Windows, ahora bien, ten cuidado donde lo pinchas porque no soporta grandes velocidades de tráfico.