Alguien está utilizando recursos de nuestro sevidor para fines que aún no sabemos. Aparecen un montón de direcciones rusas por ahí, y el tráfico ha aumentado a lo bestia, sin que la causa sea nuestro trabajo (los fines de semana se mantiene el tráfico alto).
Creemos que puede ser spam automático.
¿alguien conoce el tema?
T.y.
Buenas, vamos a ver: lo primero es asegurarse de que nadie del trabajo ha instalado ningún programa en plan eMule o similares, eso explicaría el aumento de tráfico.
Si eso no es, entonces échale un vistazo a las conexiones que mantiene el servidor (en una ventana DOS, netstat -na). Hazlo cuando el servidor esté desocupado, y comprueba las direcciones que marca como ESTABLISHED. Ahora abre el administrador de tareas y busca algún proceso que no deba estar ahi. Si lo encuentras, mátalo y vuelve a hacer el netstat -na. Si la conexión sospechosa ha desaparecido, ya tienes un culpable, lo siguiente es buscar el programa en cuestión y la entrada del registro que lo haya arrancado.
Borra el programa, la entrada del registro, y a continuación comprueba la seguridad del equipo, cosas como si tienes algún acceso remoto con una clave demasiado evidente, o piensa en instalar algún tipo de cortafuegos (no te digo nada del antivirus, porque doy por hecho que lo tienes, ¿no?).
Espero que esto te sirva. Si tienes alguna otra pregunta, por aquí ando.
¿Donde aparecen esas direcciones rusas?
Es que pueden ser un montón de cosas, también sería bueno que comentaras (si puedes) el sistema operativo utilizado aunque el compañero ha dado por hecho que es un Windows.
Si teneis un servidor, dará una serie de servicios...¿pero cuáles? (no sé si es pedir demasiado). Si tienes un servicio de correo, podría ser que estén enviando a vuestro servidor basura o que tengais el relay abierto y estén enviando correo basura a costa de vuestro servidor a medio mundo.
Revisad los logs e intenten detectar accesos privilegiados en horas que sepais que nadie ha entrado. Incluso no vendría mal que se le echara un vistazo a la base de datos de usuarios no vaya a ser que aparezcan usuarios "por arte de magia". Es decir, que alguien realizara un acceso privilegiado y se haya preparado el camino para después entrar cuando le de la gana.
Das pocos datos, pero los logs tienen que hablar por si solos ya que sois vosotros los que conoceis el sistema, los servicios que teneis corriendo y por tanto los puestos a la escucha que teneis (buscad puertas como ha comentado el compañero).
Si respondes un poco más claramente quizá podamos echarte una mano.
Salu2.
Veamos:
En el supuesto nada despreciable que se te haya colado alguien, tienes dos opciones:
-Que la maquina sea Windows
-Que la maquina sea cualquier variante libre.
En el supuesto primero (creo) que no seria gran cosa, en el segundo (opino digo) creo que tendrias un problema algo mayor... :S
El cualquier caso y siempre la mejor solucion instala un NIDS y un HIDS en el servidor.
No creo que vayas a tardar mas de 3 dias en descubrirlos...
"¡¡Supuestos supuestos!!"
Saludos cordiales
NIDS lo pillo, Snort creo que es de los más extendidos y potentes. Pero eso de HIDS no lo pillo porque creo que es lo mismo. Si me explicaras te lo agradecería.
Un detector de intrusos es lo ideal, sobre todo para los ataques medianamente finos, pero por lo que parece si ha sido un ataque no se está cortando ni las uñas y está dejando pruebas (que puede que no sea nada de eso). Por lo que creo que mirando qué puertos tiene abiertos, los procesos que están rulando y quizá mirando los logs si no han borrado muchas pruebas, podría saber lo que ha pasado. Y después si quiere, podría montar un servicio de detección de intrusos para el futuro, ¿no crees?
Salu2.
Muy buenas FreeBSD.
Siempre que hemos posteado en este foro, he soltado burradas :P.
Y SIEMPRE te tengo que dar toda la razon. :P
El caso es que pase rozando este foro y postee, pero creo que:
-Un monton de direcciones rusas suena algo raro...
- Trafico tan notable, sonara raro tambien.
- Lo fatal que puede resultar casi cualquier servicio, no basta solo con parchear sino tambien en configurar adecuadamente.
El caso, es que:
-Un NIDS es para la red, y como no conocemos nada de su red. SOlo puedo pensar que sera medianamente grande y que tendra bastante informacion.
Por lo que se puede ir paseando de un ordenador a otro, mismamente a saco con exploits locales y mil cosas mas(sniffers, keyloggers...).
Por lo que sencillamente si lo pone, sabra los movimientos a deshoras que existen en la red, los login extraños, las frecuencias. En definitiva la parte logica de la red y en que esta siendo inusual.
Por lo demas, creo que si esta haciendo eso o no es muy fino :P o le costo tan poco entrar que habra pensado que era el rey (sus motivos tendria).
Y porsupuestisimo que mirando los log que existan, que ya sabes que se triplican por servicio prestado :). Tendra muchisimas pistas definitivas.
En definitiva, para variar, tienes toda la razon ;), primero que mire los logs...
SAludos
PD: Perdon por la ortagrafiaaaaa
Un NIDS se suele poner en puntos estratégicos de una red (en un router por ejemplo, o una maquina que haga NAT) para snifar y reconocer "ataques" y tráfico anomalo gracias a patrones (vaya como hace el snort).
En cambio un HIDS es más a nivel local y no de red. Mira si se han cambiado algun fichero del sistema importante (hash y demas historias), si el intruso ha conseguido ser root, lo que esta haciendo. Puede logear lo que se esta escibiendo en la shell (vaya si el ataque ha surtido efecto),etc ...
Para tener un mayor grado de "seguridad" se suelen usar las dos herramientas a la vez, cada una tienes ventajas que la otra no tiene.
Espero que esta explicación por encima te halla aclarado alguna duda. Si no es asi esta claro que no me se explicar :P
Saludos
PD: Tanto el NIDS como el HIDS se suelen usar para implementar un honeypot o una honeynet. Mi projecto precisamente va de eso :8 (En menudo "embolao" me he metido, menos mal que me gusta el tema .... :) )
OK, gracias por la aclaración. Me imagino que en el caso de HIDS la H inicial será de host, ¿no?
Pues la verdad es que es un proyecto más que interesante el tuyo y hablando del tema dejo una dirección sobre ello para los demás: http://project.honeynet.org, no tiene desperdicio.
Gracias y saludos.
Buenas tardes
Ahora el que esta perdido soy yo :P.
¿Es tuyo este proyecto ?
his.sourceforge.net/honeynet/papers/
La explicacion esta muy bien, el colega de mas arriba puede aplicar cientos de herramientas interesantisimas.
SAludos cordiales
al poner lo de que a aumentado el trafico, me da que pensar que puede ser un dump.
saludos.
Buenas tardes
¿Y digo yo?
¿Como te va el tema?
SAludos
Siento no haber aparecido antes. Muchas gracias a todos los que haberis contestado. Le he comunicado al responsable de la red vuestros comentarios, yo no controlo el tema como para entenderos como él; sencillamente soy usuario de bandaancha y sabía de la existencia de los foros. (Supongo que ahora el compa se registrará).
En cuanto tenga noticias de él os posteo qué está, o estaba, pasando en nuestro servidor.
Gracias otra vez.
Tarrat
Buenas tardes
De nada. A mandar :P. Supongo que no tendras mayores problemas, si ha tomado buena nota el admin ;).
SAludos
PD: Estoy impaciente por saber que diablos ocurrio :).
Si realmente se os ha colado alguien, basicamente pueden darse 2 posibilidades.
1º Que quien haya entrado, haya conseguido el password para la cuenta de root a puro huevo, o bien a base de brute force si esto era posible tal como estaba configurado el servidor.
2º Que haya conseguido entrar aprovechando algun fallo de seguridad en algun servicio, exploit etc.
En cualquier caso sigue habiendo otras dos posibilidades, que despues de entrar simplemente se haya apuntado el pass de administrador conseguido de una forma u otra, o que os haya metido un rootkit para borrar sus huellas y volver a entrar cuando quiera.
Si simplemente tiene el pass de administador o se ha hecho de alguna cuenta con privilegios para poder configurar el servidor y arrancarlo, entonces lo teneis muy facil, es cambiar el pass de root y borrar las cuentas que no debeieran estar ahí.
Si os ha metido un rootkit, normalmente el rootkit habra sobreescrito programas como el ls, ps, users, who etc , lo que tienes que hacer es copiar el ls de la distribucion a un directorio cualquiera, y luego asegurandote de que usas el ls de la distribucion, usarlo para comparar los tamaños de los archivos que se suelen sustituir con los rootkits, si veis que los tamaños no difieren, se puede pensar con "cierta seguridad" que no han colado un rootkit y solo es cuestion de que han conseguido un pass.
Un saludo.
P.D.
Tambien hay sistemas automaticos para comprobar esto, como chkrootkit etc, lo que ocurre, es que a sistema automatico para encontrar algo... sistema automatico para evitar que lo encuentre.
