Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
268 lecturas y 11 respuestas
  • Cerrado

    ataques de msrpc srvsvc netapi buffer overflow (2) AYUDA URG

    cada media hora me hacen un ataque desde eso tengo el norton 2005 y asta el momento me los bloquea y bloquea la conexio por 30 minutos,
    en la pagina de symantec (norton) ponen que es una de las peores amenazas y que de lograr conectarse cogen el control del pc atacado me aconsejaban una actualizacion de microsoft lo actualice y siguen lanzandome los ataques,
    los puertos atacados y es lo que me mosquea son
    net bios-ssn y microsoft ds,
    que hago , lo ignoro o hay alguna solucion, gracias,
    saludos

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
    • Cerrado

      Ignora los mensajes del firewall. No te preocupes por los…

      Ignora los mensajes del firewall.
      No te preocupes por los reportes que no sirven para nada.
      De lo único que tienes que preocuparte es, de que tienes la última versión del firewall, de que lo tienes activado y de que tienes tu windows con lo últimos parches.

      Saludos

      • Cerrado

        [Editado]

        hay que ignorarlos cuando son normales , si te hacen cada…

        hay que ignorarlos cuando son normales , si te hacen cada rato un ataque de lo mismo y por esos puertos es para mosquearse y no iba mal encaminado ya que no eran ataques sino conexiones que al final en el registro del norton
        he visto que se han llevado a cabo
        saludos

        • Cerrado

          [Editado]

          este... si el firewall no los bloqueaba, pues no servia mucho…

          este... si el firewall no los bloqueaba, pues no servia mucho que digamos.
          Al menos que haya habido una coneccion saliente que validara la coneccion en el firewall, toda coneccion no solicitada entrante deberia ser bloqueada por defecto.

          Si tu firewall no fue capaz de hacerlo y solamente te andaba avisando que habia una coneccion, configuralo mejor o pasate a otro firewall.

          (esto me recuerda al blackice...)

          PD me da curiosidad el log, podria verlo?

            • Cerrado

              [Editado]

              pues al registro del firewall. A que registro de actividades…

              pues al registro del firewall.
              A que registro de actividades te refieres?

              Si alguna se llevo a cabo, pues te ownearon el server por medio de la vulnerabilidad del RPC, cosa que deberia ser imposible si tienes un firewall.

              Como te digo. Si tuvieras el windows con los ultimos parches, por más que no tuvieras firewall y este worm tuviera acceso directo a tu ordenador, no sucedería nada.

              Para más informacion:
              securityresponse.symantec.com/avcenter/n…/s21702.html

            • Cerrado

              por cierto, hazme caso, configuralo para que no te alerte,…

              por cierto, hazme caso, configuralo para que no te alerte, que susodichos "ataques" los tendrás de por vida y ninguno será crítico.
              Mira, todos los ataques que registren los firewalls son los fallidos, ya que el norton lo ha detectado y los ha bloqueado. En realidad bloquea todo lo que venga y los que tu no hayas solicitado.

              De lo que te tienes que preocupar son los ataques que no son registrados, esos son los ataques que han bypasseado el firewall.

              El firewall es una buena medida de seguridad.
              Pero la única medida de seguridad que es efectiva es tener una politica de seguridad, un comportamiento, una rutina orientada a seguridad.
              Una de esas es:
              1. NO usar internet explorer ni Outlook.
              2. Mantener tu sistema operativo al dia, con los últimos parches.
              3. No dejar corriendo servicios que no usas.
              4. Tener privilegios seteados en tu sistema y jamas usar el administrador.
              5. No ingresar a páginas desconocidas o pornograficas.
              6. Probar software dudoso en un entorno emulado.

              Con esto tienes el 90% de los "ataques" ya cubiertos.

              • Cerrado

                gracias por los consejos aunque no todos los pueda cumplir ya…

                gracias por los consejos aunque no todos los pueda cumplir ya que no soy el unico que uso el pc y uso el internet explorer
                me refiero al registro del norton , no te lo puedo mostrar porque hice una recuperacion del sistema,
                no entiendo mucho de pc y te agradeceria que me echaras una mano.
                cuando incio el pc me sale esto
                seleccione el sistema operativo con el que desea iniciar

                microsoft windows
                consola de recuperacion de microsoft
                esto sin darle a f8 ni anada
                si lodejo inicia normalmente si bajo a consola de recuperacion tengo que darle a enter pero me pide una contraseña que no he puesto yo y que no me se,
                esto junto con lo de los ataques por esa mierda me pasa desde hace unas 3 semanas cuando se me metieron dos virus que norton no era capaz de eliminar solo me advertia de ellos despues de media hora intentando hazer un punto de restauracion , me ponia que la aplicacion habia fallado
                al final me dejo eliminarlos pero se me fue la conexion a internet , hice el punto de restaurazion y se me arreglo
                y hace unos dias se incrementaron los ataques y siempre de lo mismo y los mismos puertos y el internet explorer cambio en algunos aspectos,
                mirando el administrador de tereas tengo 5 procesos de svchost.exe no se si antes no me abia fijado o no tenia tantos abiertos intente matar uno ya que lei que algunos virus lo emulan y me salia un cuadro en el que ponia que el pc se hiba ha reiniciar en 50 segundos ,creo
                aque se debe todo esto ?
                es normal? y si no como se soluciona?
                gracias de antemano y perdona por extenderme tanto ,pero esque me tiene todo esto mosqueado ya que fue ha raid de los virus y casualidad o paranolla los virus fueron 2 horas despues de llamar ha ono para tramitar la baja,
                saludos

                • Cerrado

                  la ventana que te dice que va a reiniciar no dice por…

                  la ventana que te dice que va a reiniciar no dice por casualidad RPC algo?

                  Huele feo, no se bien lo que te anda pasando ya que deberia tenerlo en frente mío para evaluarlo correctamente.
                  Si anteriormente estuviste infectado pues pueden estar pasando miles de cosas.

                  La solución eficiente sería:
                  1) Haz backup de todos los documentos y archivos esenciales que no puedes perder de tu pc. (los tuyos y de los otros usuarios que la usan)
                  2) Borra todo el disco rigido. Reparticiona y formatea. La repartición es opcional, es solo por mantenimiento... No cuesta nada y es rapido.
                  3) Reinstala la última versión disponible del paquete windows.
                  En redes p2p puedes encontrar imágenes ya armadas de cds con todos los service packs y hotfixes al día ya incorporados.
                  4) Instala windows con el cable de red DESCONECTADO de internet.
                  5) Desactiva los servicios RPC DCOM, el UPNP y el Messenger de windows, muy raro que los uses alguna vez. Instálate el antivirus (recomiendo NOD32 o kaspersky) y el firewall. Asegurate de mantenerlos actualizados.
                  En el las propiedades de tu conección asegurate de configurar de que no compartes carpetas con internet. Asegurate de tener
                  TODOS los puertos bloqueados desde internet. Hazte una prueba luego desde grc.com.
                  6) Instalate el Firefox y no vuelvas a usar el Internet Explorer. Por el amor de Dios. Si vuelves a usar el IE pues, ten en mente en volver a hacer todos estos seis pasos en un tiempo no muy lejano. Yo he estado usando mis sistemas desde hace seis años sin virus ni spyware ni antivirus ni firewall por el simple hecho de que no uso internet explorer. Sin exagerar, NO USES INTERNET EXPLORER NI OUTLOOK, NO ME IMPORTA QUE VERSION USES.
                  Los principales exploits hoy en día están basados en vulnerabilidades del Internet Explorer y los motores de imágenes que procesan incorrectamente los archivos de fotos.
                  Hace mucho tiempo se podia generar archivos jpg malformados para ejecutar codigo remoto. Ahora se puede hacer con archivos png y bmp.
                  Y con codigo remoto no me refiero a ejecutar la calculadora de windows, sino completos shells inversos y estos son los más temerarios ya que penetran toda la red interna y todos los firewalls ya que es la máquina victima la que se conecta con el atacante y no al revés.
                  OJO. ojo. ojo.
                  Y esto generalmente se soluciona no usando productos Microsoft.
                  7) Si tu no eres el unico usuario, create más usuarios con cuentas personalizadas todos con privilegios inferiores al administrador. Users o Power Users. Eso es todo. Y esto va incluso para ti. El administrador debe ser deshabilitado o jamás usado. JAMAS HABILITADO Y SIN CONTRASEÑA. Y JAMAS DEBERIA ESTAR EN USO. SI lo necesitas para cuestiones puntuales, eleva tu privilegio temporalmente con el uso del comando "runas".

                  8)
                  Si el uso es intensivo, puedes usar el software Deepfreeze. Create una particion extra para guardar documentos. La particion donde se aloja el sistema jamás podrá ser modificado. Esta es la solucion más práctica. Si tus usuarios o tu mismo necesitas cambios permanentes, lo "descongelas" le instalas o lo reconfiguras y lo vuelves a "congelar".
                  Es uno de los métodos más efectivos que he encontrado para mantener el status quo.
                  En este caso puedes usar la cuenta del administrador todo el tiempo que quieras, ya que cualquier cambio ya sea beneficioso o perjudicial se borrará al reiniciar la pc, como si jamás hubiera sido usado.

                  Este el procedimiento standard para mis clientes, cuando tienen la pc infestada de virus o spywares o no se sabe hasta que punto está infectado.
                  Lo simple y barato es borron y cuenta nueva.
                  Una vez que haz sido infectado, ya la maquina no es tuya.

                  Saludos,
                  hypno

                  • Cerrado

                    [Editado]

                    [IMG]http://img393.imageshack.us/img393/6104/ssfp7.png"/>[/IMG]…

                    [IMG]http://img393.imageshack.us/img393/6104/ssfp7.png"/>[/IMG]

                    este es el cuadro que me sale

                    he hecho varios puntos de restauracion y una recuperacion de sistema , la que te deja el ordenador como cuando lo compre y me sigue pasando.
                    gracias por las indicaciones , este fin las llevare a cabo , aunque tendre que llamar ha alguien que entienda un poco de esto xque yo no se hacer la mitad de las cosas.

                    hace un rato me ha advertido norton que svchost.exe estaba intentando conectarse a internet, le he dado ha bloquear,
                    he hecho bien?
                    saludos

                    • Cerrado

                      Como sospechaba, esa ventana es horrorosa. HORROROSA. Mis…

                      Como sospechaba, esa ventana es horrorosa.
                      HORROROSA.
                      Mis sospechas:
                      Pueden ser las siguentes cosas:
                      1) Alguien te está hackeando explotando vulnerabilidades del RPC DCOM
                      2) Un worm (gusano) se está propagando en tu sistema explotando las vulnerabilidades del RPC DCOM automáticamente.
                      3) Tienes un problema crítico en tu sistema operativo que lo hace inestable.

                      Aunque no me cierra bien qué papel está jugando el firewall y cómo podrían ser posible las primeras dos opciones teniendo un firewall activo...

                      Cualesquiera que sean tus problemas, la opción más segura y que cubre cualquier posibilidad posible, es la que te menciono arriba, en el post anterior.

                      Si no entiendes, dime que parte y tratare de ser más detallado.
                      Sobre el svhost queriendose conectarse afuera puede ser que sea la actualización automática de windows.
                      Desactiva la actualizacion automática de windows y fijate si el svhost te pide conectarse afuera de nuevo.

                      Fijate a qué IPs se conecta el svhost. Puedes monitorearlo con el TCPView de sysinternals o el Active Ports. La diferencia entre el netstat de windows (aah, en linux no pasa esto...) y estos dos programas es que te indican que programas estan usando qué puerto y qué conección.

                      • Cerrado

                        [Editado]

                        sabia yo que algo pasaba, gracias x todo, este sabado lo…

                        sabia yo que algo pasaba, gracias x todo, este sabado lo mirare con mi cuñado que el entiende un poco de esto y si tiene dudas de como hacer algo te escribo
                        por cierto cuando abro algunas aplicaciones del norton como el registro de actividades o algo asi me sale esto

                        [IMG]http://img243.imageshack.us/img243/3240/vvvt4.png"/>[/IMG]

                        tambien me lo hace desde hace un par de semanas
                        que puede ser?
                        saludos