Ataque a mi windows 2000?

paisano · #1 (**permalink**) 24/03/2003, 09:39

Holas gente miren tengo el siguiente problema, cuando hecho a andar mi windows 2000 advanced server como administrador y abro internet explorer, siempre mi bloqueador de puertos me dice que alguien desea accesar a mi puerto 80, no se que demonios me activaron en mi maquina pero todavia no doy con el problema, alguien podria guiarme que hacer para saber que maldicion le pusieron a mi maquina, se los agradeceria mucho, hasta pronto.

Alfon · #2 (**permalink**) 24/03/2003, 09:47

Para empezar no sé como se te ocurre abrir el Internet Explorer como Administrador. Eso es pecado mortal, de esos de ir al infierno directamente.

Si alguien intenta acceder a tu puerto 80 será que tiernes un servicio que escucha en ese puerto... algo así como un servidor http como pudiera ser IIS 5.0

No sé que "bloqueador" de puertos tienes, pero supongo que funcionará si tienes el puerto 80 abierto o con servicio. Si navegas, el IE abre un puerto superior y aleatorio, el 80 es el puerto remoto con servicio http.

Puede incluso que tengas un troyano que escuche en el puerto 80 pero no lo creo.

Prueba un netstat a ver que descubres.

paisano · #3 (**permalink**) 24/03/2003, 14:45

Oyes es que solo lo uso para poder actualizar mi servidor solamente, no lo uso para ninguna otra cosa. Pero habia pensado en un troyano como dijiste, ahora solo deja checo con el netstat ver que veo raro por ahi y luego te digo que onda.

El port bloquer que uso es el de Analog X. Creo que me ha servido muy bien, pero no se como lograron endemoniar mi maquina, pero bueno esto es lo divertido de la web.

TeleHost · #4 (**permalink**) 26/03/2003, 06:09

Actualiaza el Win2000, Microsoft encontro un bugs que permite ingresar por el port 80, a mi me paso lo mismo, actualiza todos los SP y parches y solucionado el problema.

Saludos

paisano · #5 (**permalink**) 26/03/2003, 09:33

Miren cuando hecho andar mi maquina como administrador y ejecuto un netstat para ver mis conexiones actuales, solo hay un servicio que tiene la bandera de TIME_WAIT esta asi:

TCP HTTP 1032 TIME_WAIT

Al parecer es un troyano que quiere entrar entrar a mi puerto 80 y pasar informacion a su puerto 1032. He actualizado mi SO por completo el viernes pasado, ya que recuerdo aparecio un bug nuevo que encontraron los gringos. Ahora creo que debo investigar que troyanos usan el puerto 1032 creo yo. Pero cualquier sugerencia sera bien venida. Hasta pronto.

Alfon · #6 (**permalink**) 26/03/2003, 10:00

Danos la línea completa que te devuelve netstat.

Según lo que posteas la conexión a la que te refieres ha sido cerrada, pero no se elimina de la tabla de conexiones por si hubiese algo pendiente de trasmitir o recibir. De cualquier forma falta la dirección remota. Para estár más de que poceso está involucrado en esa presunta conexión usa un pequeño programa que no tiene instalación y apenas ocupa espacio: "Active Ports"

http://www.webattack.com/get/activeports.shtml

paisano · #7 (**permalink**) 28/03/2003, 09:24

Asi esta la linea:

TCP MIMAQUINA:http MIMAQUINA:1032

Que troyano me endemonio????????