¿Cómo puedo detener este ataque remoto?

Navega tus respuestas
1

Alguien parece estar iniciando sesión en mi máquina de forma remota, estoy ejecutando Avast anti virus con Comodo Firewall, ambos no reportan ningún ataque. Solo noté esto porque en los registros de seguridad de mi enrutador veo lo siguiente.

He escaneado la máquina con 6 analizadores antivirus diferentes y todos informan que la máquina está limpia, por lo que probablemente sea un ataque de día cero. Ocurrió después de que descargué estúpidamente un archivo .doc de un torrente. Sospecho que hay un troyano en mi máquina. ¿Hay algún modo de bloquear este ataque y descubrir manualmente qué programa está marcando el inicio al atacante?

Registros del enrutador 

Line 4: [LAN access from remote] from 221.163.250.228:3389 to 192.168.1.58:2345, Thursday, March 26,2015 19:59:59
Line 5: [LAN access from remote] from 142.4.215.8:27010 to 192.168.1.58:27015, Thursday, March 26,2015 19:59:34
Line 6: [LAN access from remote] from 188.138.9.50:36877 to 192.168.1.58:2323, Thursday, March 26,2015 19:13:36
Line 26: [LAN access from remote] from 221.163.250.228:3389 to 192.168.1.58:2345, Thursday, March 26,2015 00:15:44
Line 53: [LAN access from remote] from 223.130.239.89:1010 to 192.168.1.58:2345, Wednesday, March 25,2015 01:39:57
Line 76: [LAN access from remote] from 223.130.239.89:1010 to 192.168.1.58:2345, Tuesday, March 24,2015 17:28:28
Line 81: [LAN access from remote] from 103.249.103.31:6003 to 192.168.1.58:2345, Tuesday, March 24,2015 16:01:15
Line 86: [LAN access from remote] from 107.20.201.237:4244 to 192.168.1.58:60615, Tuesday, March 24,2015 11:38:33
    
pregunta Ninja2k 26.03.2015 - 21:52
fuente

5 respuestas

3

Primero, el firewall no lo identificará como un ataque si el tráfico está permitido.

Segundo, en los registros, puede ver los números de puerto para los que está destinada la comunicación. Puede correlacionar esos puertos con los binarios que escuchan esos puertos en su máquina. Busque el comando netstat para su sistema operativo y versión.

En tercer lugar, debe configurar sus firewalls para rechazar las solicitudes de conexión entrantes a esa máquina (o en general, según sus necesidades).

    
respondido por el schroeder 26.03.2015 - 22:09
fuente
2

Cada vez que he visto algo extraño en los registros del cortafuegos, ha sido un comportamiento completamente benigno que sale a la luz después de una hora de pánico total ;-)

Si su enrutador no está configurado para reenviar esos puertos y uPnP no está habilitado, entonces algún software debe iniciarlos en 192.168.1.58. Use netstat -a -n -o para mostrar la actividad de la red, incluido el PID, y luego un programa como Sysinternals Process Explorer para corroborar qué es ese PID y qué podría estar haciendo. Si hay un troyano, es probable que haya un puerto o dos que escuchen las conexiones en caso de que el sistema sea accesible desde el exterior, además de la actividad observada donde aparentemente está llamando a casa. Entonces. use Wireshark para escuchar el tráfico y ver si es identificable y si hay otro tráfico sospechoso junto a él que no se muestra en el registro.

En el peor de los casos, use un Live CD de Bitdefender o similar, para iniciar el sistema infectado en un entorno completamente limpio y luego escanear todo en busca de virus conocidos.

Si todo esto no aparece, es probable que estés viendo un artefacto del software de torrent o alguna otra aplicación que estés ejecutando. Dado el alto valor de las verdaderas hazañas de 0 días y su naturaleza específica, honestamente no es probable que haya encontrado una en un documento de torrent. Si se actualizó por completo y su escáner de virus se actualizó cuando lo abrió, probablemente esté bien.

    
respondido por el Jeff Meden 27.03.2015 - 21:58
fuente
1

No sé cómo debería deshacerse del eventual virus troyano, pero como principio, debe bloquear y deshabilitar el acceso remoto.

Si tiene algún reenvío de puertos, podría haber una vulnerabilidad y luego deshabilitarlos también.

    
respondido por el Daniel Guldberg Aaes 26.03.2015 - 22:03
fuente
1

Intente obtener ayuda gratuita de enlace , tienen voluntarios allí. Si ha ejecutado herramientas de seguridad y ha publicado los registros, es muy efectivo y, después de leer cientos de casos, es probable que encuentre una solución allí. Primero tendrás que crear una cuenta, pero eso también es gratis.

Intentaría instalar un buen firewall y configurarlo manualmente para bloquear esas IP específicas y restablecer todas mis contraseñas bancarias desde una computadora sin compromisos.

    
respondido por el Fingolfin75 27.03.2015 - 21:32
fuente
0

Una actualización de ayer a Avast Anti virus detectó un kit raíz que se ejecutaba en mi máquina, eliminé eso y eliminé todos los puertos reenviados para que estuviera en el lado seguro, los ataques parecen haber desaparecido, pero lo vigilaré. Parece que hay algunos buenos consejos para posibles amenazas de seguridad, gracias a todos por contribuir.

    
respondido por el Ninja2k 30.03.2015 - 01:08
fuente

Lea otras preguntas en las etiquetas

¿Cómo detener los ataques DDoS con una simple función en el servidor web? ¿Por qué no se puede detectar la vulnerabilidad de Bash Shellshock en los servidores web con anticipación?