Foros del Web » Administración de Sistemas » Seguridad y redes »

Ataques a W2000 Server

Estas en el tema de Ataques a W2000 Server en el foro de Seguridad y redes en Foros del Web. Saludos, Estoy recibiendo un ataque de alguien que intenta ingresar a mi servidor W2000 Server. El log de eventos de seguridad me muestra intentos cada ...
  #1 (permalink)  
Antiguo 21/09/2006, 17:05
 
Fecha de Ingreso: diciembre-2003
Mensajes: 16
Antigüedad: 20 años, 11 meses
Puntos: 0
Ataques a W2000 Server

Saludos,

Estoy recibiendo un ataque de alguien que intenta ingresar a mi servidor W2000 Server. El log de eventos de seguridad me muestra intentos cada dos segundos.

Quisiera rastrear el origen real del ataque, pues en la dirección de origen aparece el Proxy y otros equipos, algunos de la red interna y otros no.

Mao
  #2 (permalink)  
Antiguo 22/09/2006, 09:41
Avatar de andrewmp  
Fecha de Ingreso: mayo-2002
Ubicación: Colombia
Mensajes: 1.076
Antigüedad: 22 años, 5 meses
Puntos: 0
cheka primero esos equipos internos haber que encuentras de pronto tienen algun troyano u otro tipo de virus, y luego explota la posibilidad de ver la parte externa de tu red.

pon algun tipo de firewall en la pc que da salidad al internet.
__________________
Andrewmp :borracho:
  #3 (permalink)  
Antiguo 22/09/2006, 13:39
Avatar de ruben_vmb  
Fecha de Ingreso: noviembre-2003
Ubicación: Mex
Mensajes: 1.325
Antigüedad: 21 años
Puntos: 0
el log de seguridad !
te muestra la ip !
cual es esta .
__________________
•.•´¯`•.•☆★ஐmiztontli•.•´¯`•.
'
  #4 (permalink)  
Antiguo 22/09/2006, 14:11
Avatar de Hijacker  
Fecha de Ingreso: abril-2006
Mensajes: 341
Antigüedad: 18 años, 6 meses
Puntos: 0
Cita:
Iniciado por mauriciomorenov Ver Mensaje
Saludos,

Estoy recibiendo un ataque de alguien que intenta ingresar a mi servidor W2000 Server. El log de eventos de seguridad me muestra intentos cada dos segundos.

Quisiera rastrear el origen real del ataque, pues en la dirección de origen aparece el Proxy y otros equipos, algunos de la red interna y otros no.

Mao
Aisla esa máquina, averigua qué cuenta están utilizando, modifica la cuenta de administrador y la de invitado.

Si tienes un dominio cambia la política de contraseñas para que todos deban cambiar su contraseña de dominio, asi evitarás que utilicen cuentas ajenas.

Instala un Sniffer e intenta averiguar de dónde vienen exáctamente los ataques y que tráfico se está produciendo, si son ataques por fuerza bruta dudo que sean troyanos ni virus.

Instálate un IDS en algún equipo de la red, ya sea Microsoft o Linux, puedes utilizar el software freeware de Snort IDS, en http://www.snort.org.

Coméntanos que topología de red tienes, para poder imaginarnos que puede suceder en tu caso.

Un saludo
  #5 (permalink)  
Antiguo 25/09/2006, 13:05
 
Fecha de Ingreso: diciembre-2003
Mensajes: 16
Antigüedad: 20 años, 11 meses
Puntos: 0
Origen de los ataques

El origen de los intentos es variado. Pero siempre aparece un nombre de host, nunca una IP.

Los nombres de host son variados, siempre aparecen unas 100 peticiones con un nombre y luego cambia, casi nunca se repite, excepto cuando las peticiones repetitivas aparecen como si se hicieran desde el propio servidor.

Descargué el Snort, pero no lo he montado aun porque estoy montando un LINUX.

Si alguien tiene un IDS free para Windows, sería muy bueno.

Gracias.
  #6 (permalink)  
Antiguo 25/09/2006, 13:16
Avatar de ruben_vmb  
Fecha de Ingreso: noviembre-2003
Ubicación: Mex
Mensajes: 1.325
Antigüedad: 21 años
Puntos: 0
si le das un ping al host, que te marca?
esto lo instisto xq sabiendo la ip, sabes el origen del ataque, si es local o el del isp de donde proviene.
__________________
•.•´¯`•.•☆★ஐmiztontli•.•´¯`•.
'
  #7 (permalink)  
Antiguo 25/09/2006, 14:22
 
Fecha de Ingreso: diciembre-2003
Mensajes: 16
Antigüedad: 20 años, 11 meses
Puntos: 0
Mac

Cuando hago ping al host, no obtengo ningun resultado, pues es el nombre es "juano". Y esto no dice mucho sin un dominio.

Pero en los equipos locales si obtengo una IP. Claro que de antemano ya la conozco.

El caso es que ahora estoy viendo los equipos y son unos MAC. Con sistema operativo 10.

Mauricio
  #8 (permalink)  
Antiguo 29/09/2006, 13:52
Avatar de Hijacker  
Fecha de Ingreso: abril-2006
Mensajes: 341
Antigüedad: 18 años, 6 meses
Puntos: 0
Cita:
Iniciado por mauriciomorenov Ver Mensaje
El origen de los intentos es variado. Pero siempre aparece un nombre de host, nunca una IP.

Los nombres de host son variados, siempre aparecen unas 100 peticiones con un nombre y luego cambia, casi nunca se repite, excepto cuando las peticiones repetitivas aparecen como si se hicieran desde el propio servidor.

Descargué el Snort, pero no lo he montado aun porque estoy montando un LINUX.

Si alguien tiene un IDS free para Windows, sería muy bueno.

Gracias.
Snort originariamente era Linux only osea que si lo quieres montar en una Linux distro pues adelante porque funciona incluso mejor que el de Windows, ahora bien, ten cuidado donde lo pinchas porque no soporta grandes velocidades de tráfico.
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 08:57.