Actividad no autorizada en el puerto 3389

Navega tus respuestas
2

Si detecta actividad en el puerto 3389 (el mouse comienza a moverse) ¿Cuáles son los primeros pasos que debe seguir desde el punto de vista de la seguridad y a quién se debe notificar?

    
pregunta Chris Webb 10.09.2012 - 21:38
fuente

2 respuestas

6

Tienes dos opciones:

  1. Corta y corre
  2. Cava más profundo

La opción 1 implica desconectar físicamente la máquina de la red y luego tratarla como hostil. Ha sido infectado, por lo tanto ya no es su computadora. Tome todos los archivos que necesite de él a través de un CD en vivo y limpie la unidad. Asegúrese de ejecutar un AV actualizado sobre los archivos que copia, en caso de que se hayan infectado con algo. Esto incluye especialmente documentos (.doc, .pdf, etc.), así como scripts y ejecutables, ya que son un objetivo común en estos días.

La opción 2 implica potencialmente perder datos y darle al atacante tiempo para hacer cosas desagradables con su computadora / red. Obtenga un montón de herramientas ( Wireshark / Process Explorer ) y averigua qué demonios está pasando.

Algunos consejos:

  • Almacene el volcado Wireshark .pcap en una unidad extraíble para su posterior análisis.
  • Ejecute netstat -an para obtener una lista completa de escuchas / conexiones TCP activas.
  • Inicie Process Explorer, guarde la lista de procesos en un archivo y luego busque algo que parezca inusual.
  • Realice un volcado de memoria de procesos potencialmente infectados / malintencionados utilizando ProcDump , con el siguiente comando : procdump -mp <pID> Guarde los volcados en un lugar seguro.
  • Apague la máquina, cárguela en un CD en vivo, luego analice manualmente el registro y el sistema de archivos con herramientas forenses.

Recomiendo encarecidamente la opción 1 por seguridad, pero la segunda opción te proporcionará una mejor idea de quién es el atacante y de lo que están haciendo.

    
respondido por el Polynomial 10.09.2012 - 22:00
fuente
4

Lo primero que debes hacer es físicamente desconectar la computadora de la red. Podría pensar que simplemente "desconectar" sería mejor desde el punto de vista de la seguridad y tendría razón. Sin embargo, al tirar del enchufe se pierden datos forenses valiosos. Luego debe notificar a la persona responsable de la Seguridad de TI de su computadora. Si esa persona es usted, entonces debe iniciar una investigación forense para averiguar cómo sucedió esto, por qué y cómo evitar que suceda en el futuro. Comenta si quieres saber más.

    
respondido por el Matrix 10.09.2012 - 21:45
fuente

Lea otras preguntas en las etiquetas

¿Cómo explotar esta vulnerabilidad de inyección de SQL? ¿Riesgos de seguridad de hospedar imágenes proporcionadas por el usuario?