10/06/2005, 09:14
| |||
| |||
 Me Hackearon:::: UN SLUDO A TODOS.. TENGU UN SERVIDOR CON ROUTER Y TODO EL PROBLEMAS ES QUE PIENSO QUE ALGUIEN SE METIO YA EN LA MADRUGADA Y BORRO ARCHIVOS IMPORTANTES, PARA LA EMPRESA Y HOY PASO LO MISMO, PUDO SABER QUIEN ES O SABER ALGO QUE ME DE UNA PISTA DE QUINSEA..... O DEFINITIVAMENTE TENGO QUE APAGAR EL SERVIDOR ...... GRACIAS A TODOS POR SU CULTURA....  |
|
10/06/2005, 13:12
| ||||
| ||||
| Amigo yo que tu hago lo que dice el amigo Ovejo y ademas pon password fuertes es decir que sean mayores a 12 caracteres con conbinacion de letras, numeros y caracteres especiales (@#~-+*/), lo de instalar un nuevo firewall es definitivo y si tienes un router configurale ACL de modo que solo permita el trafico que interesa y todo lo demas lo bloqueas. Aca tiene un link donde puedes evaluar que tan buenos son tus password y si no son buenos te dicen que tienes que mejorar, espero que te sirva, suerte y hasta pronto. http://www.securitystats.com/tools/password.php
__________________ Enrique Ramírez. Usuario GNU/Linux: # 392278 |
|
10/06/2005, 18:37
| ||||
| ||||
| Bueno, yo lo primero que haría sería como no aislar ese server como bien te comentan por aquí, pero lo segundo que haría es asegurarme de qué es lo que han borrado, cuando y como porque en caso de que sea información relevante estás en tu derecho de denunciarlo aportando pruebas concluyentes, es decir, mira los logs del servidor, la actividad que se produjo esa madrugada, si es un server de Microsoft empieza por mirar el registro de eventos, el visor de sucesos, ahí te apareceran los accesos a recursos del sistema, si no tienes firewall todavía instala uno, tienes varios fabricantes de muy buena calidad como Checkpoint, Cisco, incluso el ISA Server de Microsoft, como bien te comentan por aquí debes crear tu perímetro de red con el router, limitando cualquier tráfico generado desde Internet, el tráfico solo se debe permitir desde tu red corporativa, y el unico tráfico que debe entrar en tu router es el tráfico de vuelta iniciado en tu red corporativa, si necesitas ayuda sobre como configurar esto estaremos encantados de ayudarte. 1º desconectar tu server de Internet 2º Evaluar el ataque, recopilar información, fechas, horas, accesos, usuarios, porque imagino que el acceso fué desde Inet. 3º Evaluar el sistema de seguridad, obviamente ha fallado debes crear una política totalmente nueva. 4º Instalar y configurar los dispositivos adecuados a tu red y a tus necesidades porque puedes o no tener una intranet , extranet, etc etc 5º Para que no te vuelva a pasar intenta reforzar las políticas de acceso a tu servidor, las horas disponibles para según que tráfico e intenta testear las medidas que vayas introduciendo según lo que se llama una rueda de seguridad. Configurar - Monitorizar - Testear - Mejorar salu2
__________________ "Conocer a los demás es sabiduría, conocerse a sí mismo es sabiduría superior" :cool: |
