none
Intrusión detectada en servidor con Windows Server 2003 RRS feed

  • Pregunta

  • Buenas tardes,

    Os escribo porque uno de nuestros clientes, lejos de hacernos caso en cuanto a seguridad se refiere, no ha decidido cambiar de versión de SO Servidor aunque se lo hayamos repetido varias veces. El tema es que desde su ISP le han bloqueado el puerto 25 porque han detectado que desde su IP (estática), están enviando SPAM. Después de nuestras comprobaciones nos hemos dado cuenta de que algún hackear ha realizado lo que todos conocéis como una escala de privilegios aprovechando la vulnerabilidad que conocemos.

    Hemos conseguido sacarlo de la máquina y la desconectamos de la red para realizar algunas cosas a modo primero de desinfección y segundo de prevención. Hemos realizado lo siguiente:

    • Lo primero ha sido eliminar el nateo del router que dirigía al puerto 3389 del TS. Ya no se puede entrar con la IP fija externa.
    • Después he ido eliminado todo el software (oculto en su usuario) que tenía instalado. Programas tipo mail bomber, ftp, servidores bitorrent, incluso películas, scripts y demás. Vamos, que se había montado una fiesta particular...
    • He repasado los servicios tanto automáticos como manuales por si había algo raro. Y no he encontrado nada, de todos modos creo que los voy a listar y los os los voy a mostrar por si se me ha pasado algo.
    • He cambiado las contraseñas de todos los usuarios del dominio, incluido los administradores. También he desactivado el rol de TS por ahora.
    • He pasado el antivirus (nod32 endpoint original) y me ha detectado alguna cosilla.
    • He activado el firewall de Windows (que estaba desactivado)
    • Hemos descompartido varias carpetas que había compartido. Tambien hemos mirado todos los permisos de las carpetas y hemos eliminado todos los usuarios "sospechosos".
    • Hemos instalado un cliente logmein para poder acceder en caso de futuros problemas.

    Cosas que me quedan por hacer y para lo que espero vuestra ayuda:

    • Cambiar el puerto del TS. Eso lo tengo creo que controlado, que se hace desde el registro.
    • Capar el puerto de SSH y el del FTP, lo que no se es como hacerlo desde este Windows. En posteriores es bastante fácil con las reglas. Quiero hacerlo primero en Windows y después en el router.
    • Conseguir acceder a ver donde está el usuario que se ha creado. No lo veo en el sistema, veo su carpeta en users con toda esa morralla, le ví cuando me conecté en el task manager con sesión activa, pero no está ni en el AD, ni en usuarios locales. Tambien he mirado en el registro. Pero no consigo dar con dicho usuario para eliminarlo. ¿Cómo lo puedo ver?
    • Vamos a dar de baja la IP estática y pretendemos poner un servicio de DNS Dinámica.
    • Y ni que decir que cuando esté solucionado el problema la siguiente solución será cambiar a Windows server 2012, sí o sí. Así se lo hemos dicho al gerente.

    Esta es la primera vez que nos enfrentamos a algo así, y creo que la intrusión ha sido total. Por ello os ruego que nos podáis prestar un poco de ayuda, ya que lo que más tocamos en estos momentos es Debian y Windows Server 2008 / 2012. Que no adolecen de los mencionados fallos de seguridad, ya que su soporte por parte de Microsoft sigue activo.

    PD: Tiene instalado un sql server. ¿Tendría que hacer algo con el? Desconozco las vulnerabilidades que pueda tener.

    Un cordial saludo y gracias.


    jueves, 23 de julio de 2015 18:06

Todas las respuestas

  • Hola Lennon ¡la ha hecho bien ese cliente eh! :)

    Si han entrado y usado el servidor, se han hecho administradores, y además había virus, yo no dudaría en qué hay que hacer, porque por más que busques nunca estarás seguro que quedó realmente limpio y además que no hay cosas alteradas o directamente componentes reemplados

    Como te dije antes, yo reinstalaría todo de cero, y si el cliente fue descuidado, bueno deberá pagar su error ¿o tú tienes que hacerte responsable por lo que pueda haber quedado? :)

    Permitir Remote Desktop desde afuera a un Controlador de Dominio es un riesgo muy grande, ten en cuenta, y te habrás dado cuenta, que este contiene "lo más valioso" como son usuarios/contraseñas

    Si quieres permitirlo aunque no sea lo recomendado, además de cambiar puertos, por lo menos a través de VPN, y con una estricta política de bloqueo de cuentas

    Ese servidor "no es más tuyo, y menos del cliente" de eso puedes estar seguro, porque por más que limpies siempre te quedarás con las dudas si realmente fue limpieza total. Yo recuperaría los datos, y luego reinstalaría todo nuevo, y con las medidas de seguridad adecuadas. Y por supuesto un cortafuegos apropiado en la conexión a Internet, y por supuesto con reglas "a cara de perro" :)

    Tener IP variable no da ninguna seguridad

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCT - MCSE - MCSA-2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 23 de julio de 2015 19:53
    Moderador
  • Gracias Guillermo. Siempre es grato leer tus aportes.

    Si, tienes toda la razón. No te puedo discutir.

    El tema es que mañana necesito dejarlos trabajando, y el lunes ya reinstalaría el sistema desde 0, pero un Windows Server 2012 R2 Datacenter, que al final va a ser lo que va a tener que comprar el cliente sí o sí. Eso o pasarse a Debian. El elige...

    De todos modos, y si no es mucho pedir, ¿podrías ayudarme con el tema de puertos y conseguir ver al usuario para poder borrarlo?

    jueves, 23 de julio de 2015 21:43
  • Si no puedes reconocer un "usuario extraño" va a ser difícil :(

    ¿No puedes mantener la red desconectada de Internet? si, ya sé :)

    Dos veces al día los conectas 2 minutos para que salgan y entren los correos, y listo. Habría que ver en realidad qué se necesita para que la empresa funcione, aunque sea con grandes restricciones

    Una idea que quizás te ayude, dijiste que había archivos "no reconocidos", revisa quien es el propietario ("Owner") porque ése fue el que lo creó. Si "hackeó" una cuenta de usuario tienes poca probabilidad, pero si lo hizo con un usuario que él creó, entonces ya lo tienes

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCT - MCSE - MCSA-2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    jueves, 23 de julio de 2015 22:19
    Moderador
  • Estimado,

    Leí todo y estoy seguro que el problema de seguridad, no fue por parte de Microsoft, de ser un servidor inseguro o porque el Windows Server 2003 ya no tiene soporte.

    Mira estoy casi que seguro que el ingreso por el usuario administrador local. Así le cambies la contraseña el tendrá un programa, aplicación o ejecutable el cual esta haciendo el reconocimiento de la contraseña.

    Verifica que el usuario que tu estas viendo no sea l mismo administrador, pero en el Task manager lo este visualizando de otra manera.

    Mira este link de como es tan fácil crear un usuario en blanco:

    http://www.hackplayers.com/2010/12/hidden-backdoor-in-windows.html

    Espero sirva y revises primero antes de pasar la información importante. Me gustaría que ejecutara una herramienta de microsoft el cual te ayuda con algunos malware y ademas con algunos BOT.(Backdoor)

    https://www.microsoft.com/es-cl/download/malicious-software-removal-tool-details.aspx

    Avísame como te va. Y revisa bien las KEY del Regedit en las cuentas de usuario.

    Saludos,


    Edwin Duran Ospina _____________________________________________ Si la respuesta ha sido la solución, favor marcarla.

    jueves, 23 de julio de 2015 23:01
  • Hola Lennon, algo más para aportar. La seguridad *cuesta* en muchos aspectos, facilidad de uso, soporte, hardware, mantenimiento, conocimientos, en definitiva muchos $$$$

    Así que para poder implementar seguridad, aunque a veces sea sólo lo básico, necesitas que la dirección de la empresa esté de acuerdo y te respalde. Para decirlo en forma sencilla un muy alto "sponsor". De otra forma cualquier cosa que quieras hacer no va funcionar

    Si te sirve de anécdota, conocí a un administrador que no conseguía que le compraran los medios para hacer copias de seguridad por más que insistía ¿sabes lo que hizo? :) Simuló una falla, y por unas horas todo quedó sin sistema. Recién entonces se dieron cuenta del valor que estaban protegiendo. No es recomendable, pero en casos extremos ... :) Porque siempre te harán responsable a ti

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCT - MCSE - MCSA-2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 24 de julio de 2015 11:55
    Moderador