Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
75 lecturas y 4 respuestas
  • Cerrado

    Tráfico sospechoso ¿Me están hackeando?

    Últimamente me pasa muchas veces que sin estar haciendo nada en ningún PC de la LAN el router tiene entre un 40 y un 80% de tráfico saliente. Estoy absolutamente seguro de que el tráfico no proviene de ninguno de mis PC's. En un principio pensaba que podía ser que alguien estuviese usando el servidor TFTP del router desde fuera pero lo he deshabilitado y la cosa sigue igual. Tengo los siguientes filtros:

    RULES FOR FILTER /./INWAN.FLT PROTOCOLS: ALL
    #filter

    IP:

    [FN=TELNET, TFTP y HTTP| FI=1| Enabled=yes | Type=Adv ]
    {CI=1| Enabled=yes }
    1 REJECT TCP-DST-PORT=23;
    {CI=2| Enabled=yes }
    2 REJECT TCP-DST-PORT=80;
    {CI=3| Enabled=yes }
    3 REJECT UDP-DST-PORT=80;
    {CI=4| Enabled=yes }
    4 REJECT UDP-DST-PORT=69;
    {CI=5| Enabled=yes }
    5 REJECT TCP-DST-PORT=69;
    {CI=6| Enabled=yes }
    6 REJECT TCP-DST-PORT=21;

    [FN=ICMP| FI=2| Enabled=yes | Type=Adv ]
    {CI=1| Enabled=yes }
    7 REJECT PROTOCOL=ICMP;
    {CI=2| Enabled=yes }
    8 REJECT GENERIC=>origin = DATA/offset = 0/length = 1/mask = 0xFF/value = 0x08;

    [FN=1723| FI=3| Enabled=yes | Type=Adv ]
    {CI=1| Enabled=yes }
    9 REJECT TCP-DST-PORT=1723;
    {CI=2| Enabled=yes }
    10 REJECT UDP-DST-PORT=1723;

    RULES FOR FILTER /./INRSinternet.FLT PROTOCOLS: ALL
    #filter

    IP:

    [FN=TELNET, FTP y HTTP| FI=1| Enabled=yes | Type=Adv ]
    {CI=1| Enabled=yes }
    1 REJECT TCP-DST-PORT=23;
    {CI=2| Enabled=yes }
    2 REJECT TCP-DST-PORT=69;
    {CI=3| Enabled=yes }
    3 REJECT UDP-DST-PORT=69;
    {CI=4| Enabled=yes }
    4 REJECT TCP-DST-PORT=80;
    {CI=5| Enabled=yes }
    5 REJECT UDP-DST-PORT=80;

    [FN=Protect Files and Printers| FI=41| Enabled=yes | Type=Auto ]
    {CI=1| Enabled=yes }
    6 REJECT UDP-DST-PORT=137;
    {CI=2| Enabled=yes }
    7 REJECT UDP-DST-PORT=138;
    {CI=3| Enabled=yes }
    8 REJECT TCP-DST-PORT=139;
    {CI=4| Enabled=yes }
    9 REJECT TCP-DST-PORT=143;

    Agradecería toda la ayuda que podáis darme porque se me están comiendo el ancho de banda...:(

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
    1
    • Cerrado

      Finalmente mi antivirus lo ha reconocido, era una variante…

      Finalmente mi antivirus lo ha reconocido, era una variante del Welchia o el Nachi que, al parecer solo generaba tráfico ICMP, por lo que no me aparecían conexiones TCP o UDP extrañas.

      Gracias por la ayuda.

    • Cerrado

      BocaDePez BocaDePez
      6

      Ademas de filtrar esos puertos que comentabas, prueba de…

      Ademas de filtrar esos puertos que comentabas, prueba de instalar un firewall como el ZoneAlarm, a ver que pasa y te recomiendo que sigas el consejo que te han dado de instalar un sniffer.

      Saludos.

      • Cerrado

        El tráfico no es desde/a un ordenador de la red. Ese tráfico…

        El tráfico no es desde/a un ordenador de la red. Ese tráfico no pasa por ningún equipo, puedo tener el router al 40% de transmisión con un solo equipo encendido y transferencia cero en este equipo.

        A no ser que sea un virus o algo que oculte el tráfico de red o algo así...

        Si abro las conexiones activas en el router solo veo mi telnet o mi http, dependiendo de como me conecte.