|
Mostrar Mensajes
|
Páginas: [1] 2 3 4 5
|
1
|
Seguridad Informática / Seguridad / Re: He sufrido un ataque?
|
en: 4 Diciembre 2014, 08:43 am
|
Ayer pasé mi antivirus Nod32 no detectó nada y pasé el malwarebytes también, esto me salió. "Malwarebytes Anti-Malware www.malwarebytes.orgScan Date: 03/12/2014 Scan Time: 11:43:36 Logfile: mal.txt Administrator: Yes Version: 2.00.3.1025 Malware Database: v2014.12.03.04 Rootkit Database: v2014.12.02.02 License: Free Malware Protection: Disabled Malicious Website Protection: Disabled Self-protection: Disabled OS: Windows Server 2008 R2 Service Pack 1 CPU: x64 File System: NTFS User: administrador Scan Type: Custom Scan Result: Completed Objects Scanned: 966976 Time Elapsed: 2 hr, 9 min, 21 sec Memory: Enabled Startup: Enabled Filesystem: Enabled Archives: Enabled Rootkits: Enabled Heuristics: Enabled PUP: Enabled PUM: Enabled Processes: 0 (No malicious items detected) Modules: 0 (No malicious items detected) Registry Keys: 0 (No malicious items detected) Registry Values: 0 (No malicious items detected) Registry Data: 0 (No malicious items detected) Folders: 0 (No malicious items detected) Files: 4 PUP.Optional.SupTab.A, E:\USUARIOS\merche\AdwCleaner\Quarantine\C\Program Files (x86)\SupTab\SupTab.dll.vir, Quarantined, [f11d8ed02c5045f10b8ff63f14ec8b75], PUP.Optional.IePluginService.A, E:\USUARIOS\merche\AdwCleaner\Quarantine\C\ProgramData\IePluginService\PluginService.exe.vir, Quarantined, [1bf383db205cf83e36fa4f237a87a25e], PUP.Optional.IePluginService.A, E:\USUARIOS\merche\AdwCleaner\Quarantine\C\ProgramData\IePluginServices\PluginService.exe.vir, Quarantined, [f11df46ad3a9310531ffb0c20bf644bc], PUP.Optional.WpManager, E:\USUARIOS\merche\AdwCleaner\Quarantine\C\ProgramData\WPM\wprotectmanager.exe.vir, Quarantined, [ed21acb235473303be1ea0dc39c88878], Physical Sectors: 0 (No malicious items detected) (end)"
|
|
|
2
|
Seguridad Informática / Seguridad / He sufrido un ataque?
|
en: 3 Diciembre 2014, 09:36 am
|
Hola buenos días, esta mañana me han dado un aviso que me está dejando muy intranquilo. En un servidor no se podía acceder a Navision, investigando he visto que se me habían borrado casi todos los archivos de la carpeta donde está instalada! Me ha pasado lo mismo con Firefox y con un programa de acceso a La Caixa, directamente han desaparecido todos los archivos instalados.
Llevo un rato investigando el visor de sucesos de mi servidor y me sale muchos eventos de Fallo de Auditoria al intentar iniciar sesión como Administrador, esto es lo que me sale.
"Error de una cuenta al iniciar sesión. Sujeto: Id. de seguridad: SYSTEM Nombre de cuenta: SRV-CETAPUNTS$ Dominio de cuenta: D-CETAPUNTS Id. de inicio de sesión: 0x3e7
Tipo de inicio de sesión: 10
Cuenta con error de inicio de sesión: Id. de seguridad: NULL SID Nombre de cuenta: administrator Dominio de cuenta: SRV-CETAPUNTS
Información de error: Motivo del error: Nombre de usuario desconocido o contraseña incorrecta Estado: 0xc000006d Subestado: 0xc0000064
Información de proceso: Id. de proceso del autor de la llamada: 0x3314 Nombre de proceso del autor de la llamada: C:\Windows\System32\winlogon.exe
Información de red: Nombre de estación de trabajo: SRV-CETAPUNTS Dirección de red de origen: 202.185.4.195 Puerto de origen: 1088
Información de autenticación detallada: Proceso de inicio de sesión: User32 Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (sólo NTLM): - Longitud de clave: 0 "
Veo una IP que desconozco, puede ser el foco? Y como es posible si constantemente pone que no se ha acertado con el usuario y contraseña? O no tiene nada que ver?
Muchas gracias.
|
|
|
3
|
Comunicaciones / Redes / Re: Servidor correo y web que bloquea mi IP?
|
en: 18 Noviembre 2014, 08:13 am
|
Cuando hablaba de MAC, me refería a Machintosh, no a la dirección física, perdón.
Entonces, en esa sede, al correo se conectan al rededor de 15 personas o así, no creo que sea un número excesivo tampoco.
La web está alojada en el mismo servidor que el correo, estoy en contacto con 1and1 ya porque además he descubierto, que el acceso a la web se bloquea cuando intentamos entrar a un ftp que tenemos habilitado, por lo que puedo deducir que es alguna seguridad de ellos no?
Nosotros no tenemos ningún firewall especial, IPS o ACLs.
|
|
|
4
|
Comunicaciones / Redes / Re: Servidor correo y web que bloquea mi IP?
|
en: 14 Noviembre 2014, 12:06 pm
|
Acabo de descubrir una cosa, y es que tal vez sea un MAC el causante de todo, puede ser? Explico, he cogido porque una persona necesita subir a nuestro ftp unos archivos y le he hecho una conexión puente con otra sede donde funcionaba bien, he cargado la página y ha funcionado, pero ya al probar el ftp ya no daba conexión, vuelvo a cargar la página y para sorpresa mía, lo mismo, me rechaza conexión.
Puede ser algún virus en MAC?
|
|
|
5
|
Comunicaciones / Redes / Re: Servidor correo y web que bloquea mi IP?
|
en: 14 Noviembre 2014, 08:27 am
|
En la web no sabría decírtelo, no la gestiono yo, la tenemos alojada en 1and1 si no me equivoco ya que hemos migrado el servidor de correo allí ahora, en mis servidores windows server no he instalado ningún IPS.
|
|
|
6
|
Comunicaciones / Redes / Servidor correo y web que bloquea mi IP?
|
en: 13 Noviembre 2014, 22:43 pm
|
Hola buenas noches, veréis, llevo dos semanas con algo tremendamente extraño que creía estaba solucionado pero me ocurre algo nuevo y la verdad ya me he perdido, no se que puede ser ni si he configurado algo mal o que.
Lo primero que descubrimos fue, que a partir de una hora en concreto, las 10 de la mañana, el correo a través de Outlook dejaba de funcionar con un servidor en concreto, el que iba por los puertos 25 y 110, en ese mismo edificio tenemos otro dominio, cuya configuración va por 995 y 587 que iba perfecta, tras mucho darle vueltas vi que lo que pasaba era que nuestro servidor de correo, bloqueaba toda comunicación desde mi IP, aunque ellos me decían que no, yo desde las 10 de la mañana si navegaba con la IP en cuestión no podía conectarme. Esto lo descubrí ya que les hice una VPN para que navegaran con otra IP, pero al cabo de una hora o así, con la segunda IP también se bloqueó todo.
Bueno, pues tras muchos quebraderos de cabeza, hemos decidido cambiar de servidor de correo(no era el primer problema grave que teníamos) por lo que también cambiamos nuestra web de lugar, pues hoy, día en que se ha hecho el cambio, me han llamado con algo que me acaba de matar sinceramente, desde ese edificio no se podía acceder a la Web y casualmente, desde la IP con la que les hice navegar estos días atrás tampoco se puede, al principio he pensado que podía ser problema de DNS, al hacer el cambio aún no se había propagado pero, he hecho un ping a la IP de la web y me responde: "Puerto de destino inaccesible".
Estoy muy desesperado, está pasando lo mismo que con el correo pero ahora con la web, me rechaza la conexión a un puerto en concreto, primero 25 y 110 y ahora 80. Puede ser un virus de algún ordenador? Porque entonces ahora por puertos 995 y 587 no pasa, pero se va al 80? Tenemos 5 sedes más y ninguna tiene problemas, solo las dos que os he comentado, no entiendo que puede pasar.
Siento un poco el tocho, he intentado resumir en gran parte nuestro problema.
Muchas gracias.
|
|
|
8
|
Sistemas Operativos / Windows / Windows XP inicia perfil usuario incorrectamente.
|
en: 2 Julio 2014, 09:18 am
|
Hola buenos días, veréis me acabo de encontrar en un ordenador un problema un tanto extraño, me han comentado que estaban trabajando normal hasta que se le ha reiniciado el PC. Una vez se ha reiniciado, me comentan que ha salido algún tipo de mensaje sobre el registro, yo no lo he podido ver y no han hecho ni pantallazo ni nada.
La cuestión es que al volver a iniciar sesión, el usuario en concreto no carga bien, no sale ningún tipo de error ni nada, pero el menú inicio lo carga al estilo antiguo, estilo clásico, no se si me explico, su fondo de escritorio tampoco carga y lo más raro es, que el perfil de Outlook desaparece, he tenido que configurarle de nuevo el correo porque estaba como si fuera acabado de instalar.
Estoy intentando cambiar el estilo del menú de inicio pero no me hace caso, además hemos probado de iniciar sesión con otro usuario en ese ordenador y no le ocurre este error, le inicia con el menú de inicio normal de Win XP.
Que puede tener ese perfil que haya cambiado?
Un saludo.
|
|
|
9
|
Comunicaciones / Redes / Re: Detectar ordenador que está enviando SPAM
|
en: 2 Abril 2014, 15:32 pm
|
te deberías colocar en un ordenador "cerca" del router en donde todas las conexiones se tornan 1, en su defecto en el router principal, colocas un puerto promiscuo que te reenvie toda la comunicacion de salida... en esa conexión es que vas a analizar el trafico, por lo menos 24 horas a 1 semana... si ahí no consigues paquetes pop3 o smtp, no es tuyo el spam, si lo consigues, solo sigue la ip/mac
Yo tenía pensado, colocar un portátil que tengo para este uso. Mi idea era, que el cable del switch que va al router, ponerlo en un pequeño switch/hub, el portátil en cuestión también y conectarlo al router también, para tenerlo "controlado". Pero no se como hacer esto del puerto promiscuo. Gracias.
|
|
|
10
|
Comunicaciones / Redes / Detectar ordenador que está enviando SPAM
|
en: 2 Abril 2014, 12:09 pm
|
Hola buenas, pues veréis tengo un problema bastante importante.
Ayer recibí quejas por parte de los empleados de mi empresa, de que les devolvían muchos correos, al enviarme el mensaje de error, descubrí que la página SpamCop me había incluido al servidor de correo que tengo contratado en su lista negra de SPAM.
Pues bien, aquí viene la cosa, por lo que me ha comentado quien lleva el tema de nuestro correo(ya que yo de ese campo desconozco bastante) que esto es con seguridad una infección, algún ordenador realizando un envío masivo de correo basura y tengo que detectarlo. El problema, son unos 40 ordenadores los que tengo que analizar, o incluso pueden llegar a 120 si el problema no ha surgido del edificio que creo que ha salido.
Lo que necesito saber es si existe alguna forma de saber y detectar si hay un exceso de tráfico SMTP en algún PC.
Indagando he visto que una de las formas de localizarlo, es mediante un sniffer en un ordenador, pues bien he puesto wireshark en los servidores de dominio a los cuales se conectan estos ordenadores, pero no me detecta ningún paquete de este tipo.
Debo ir ordenador por ordenador pasando por ejemplo malwarebytes? Solo esto es eficaz? O son tipos de virus difíciles de detectar??
Un saludo, muchas gracias de antemano.
|
|
|
|
|
|
|