¿Cómo responder a un ataque hecho desde mi servidor dedicado?

6

Hubo un pico repentino e inusual de tráfico saliente desde mi servidor dedicado alojado (SO - Windows Server 2008 R2 ). El hoster amenazó con bloquear el servidor si el problema no se resuelve.

Hay una aplicación MVC de ASP.NET y una base de datos de SQL Server 2008 Express instaladas en el servidor.

Después de eso, instalé todos los parches de seguridad que faltaban, cambié las contraseñas y las endurecí, y escanee el servidor con la Herramienta de eliminación de software malintencionado de Microsoft (no se encontró nada). Pero no siento que el problema esté resuelto.

¿Qué se debe hacer en tal caso?

    
pregunta rem 24.08.2011 - 13:33
fuente

3 respuestas

10

Si está realmente paranoico, extraiga solo datos y vuelva a cargar completamente el servidor.

En la mayoría de los casos, me parece satisfactorio iniciar el servidor desde un disco de rescate antivirus de inicio y ejecutar un análisis completo. El disco de rescate actualizable y de arranque gratuito de Kaspersky es una buena opción.

ftp://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/

Es importante usar un escáner de arranque. Algunos programas maliciosos modernos pueden hacerse completamente invisibles durante el proceso de arranque y, por lo tanto, esconderse de los escáneres, incluso en modo seguro. Al arrancar desde un CD, no le das una oportunidad a ningún malware.

    
respondido por el David Schwartz 24.08.2011 - 13:37
fuente
8

¿Cuál es realmente el problema aquí?

Un pico repentino en el tráfico de la red no indica nada más que algunos procesos que están teniendo lugar.

Supongo que cuando dices "pico repentino inusual", estás diciendo que hubo una gran cantidad de tráfico (que generalmente no tiene lugar), y que solo duró un breve tiempo.

¿Podría ser una rutina de copia de seguridad? Eso también generaría una gran cantidad de tráfico de red durante un tiempo reducido.

¿Quizás el problema esté en su proveedor de servicio? Si un pico de red repentino es suficiente para que lo cierren, buscaría otro proveedor en otra parte. Un pensamiento extraño es que su proveedor está efectivamente amenazando con realizarle un ataque de Denegación de Servicio.

¿Quizás tenga más detalles sobre el inusual tráfico de red?

    
respondido por el Dog eat cat world 24.08.2011 - 14:52
fuente
3

Lo primero que debe hacer es usar su firewall (prefiera el firewall de hardware al software en la máquina). Configúrelo para detectar el tráfico saliente malicioso y bloquéelo. Con esta configuración, evitará esos picos no deseados de uso de ancho de banda, o al menos minimizará su aparición. De hecho, esto puede impedir su actividad, pero no tanto como estar bloqueado por su ISP.

Además, el firewall lo alertará y lo ayudará a analizar la situación para identificar qué está causando el problema.

Lo segundo que hay que hacer es escanear la máquina en busca de virus y posible malware. Sé que has hecho esto, pero déjame recordarte que debes hacerlo en un modo fuera de línea, no desde el sistema potencialmente infectado porque las herramientas podrían estar comprometidas por un virus que ya existe.

Tal vez le resulte más conveniente / económico realizar copias de seguridad de los datos y configurar un nuevo sistema desde cero.

    
respondido por el M'vy 24.08.2011 - 14:06
fuente

Lea otras preguntas en las etiquetas