locked
Problemas Escritorio remoto y posible troyano RRS feed

  • Pregunta

  • Hola a todos a ver si me podéis echar una manilla porque estoy desesperado.

    Tengo una red de unos 60 pc´s con XP, también con 3 servidores 2003 server, conectada a otras sedes mediante vpn.

    Hoy Lunes, sin saber por qué, y sin tocar nada, cuando he llegado estaba todo saturado, todo el tráfico.

    Un muchos pc´s ( no en todos) se me cerraba la sesión con el usuario que tiene cada pc, y se me quedaba una pantalla de inicio de sesión con el usuario SQL, y password en blanco. Me ha pasado en muchos pc´s. Volvía a loguearme con su correspondiente usuario y de nuevo cuando quería me cerraba la sesión de los pc´s que han dado problemas y me salía de nuevo la pantalla de login con el usuario sql. Ese usuario anteriormente NO estaba creado en esos pc´s.

     

    Después de volverme loco y tener a la gente parada, y casi parada cardíaca mía, se me ocurre en el panel de control /sistema/Remoto, desmarcar la asistencia remota y control remoto, para que nadie pueda acceder ya que me he dado cuenta que lo de sql son como peticiones desde algún sitio a muchos pc´s y estos se cierran. Con lo cual he hecho eso y ha mejorado.

    Pero la red sigue saturada, internet va fatal, asi que he llamado a Telefónica y me han comentado en el servico Net Lan que en nuestra sede uno de los servidores tenía...900 conexiones por el puerto 3389 que según el hombre es el de Escritorio remoto, con lo cual me ha empezado a cuadrar dado el problema que he comentado antes.

    He pasado antivirus, antiroot kits a esos servers y nada, no detectan nada.

    Como puedo mirar quien es el pc que origina esas peticiones? sabéis de algún programa que sea fácil de verlo para ese puerto?

    Saludos y gracias!

     

     

    lunes, 22 de agosto de 2011 19:18

Respuestas

  • Hola Diego, bienvenido a los foros de Microsoft TechNet.

    Seguramente algún moderador mueva tu consulta de foro, pero solo será por cuestiones administrativas. Déjame entender qué te está ocurriendo...

    Al parecer podrías estar ante la presencia del lejano Conficker. Por favor, asegúrate de antemano seguir las instrucciones de este artículo http://support.microsoft.com/kb/962007 en todos tus equipos de red.

    Por otro lado, podrías descargar una herramienta como Microsoft Network Monitor y hacerle escuchar todo el tráfico que circula por tu red (Ten cuidado, ejecútala en un equipo cliente ya que consumirá demasiados recursos de hardware) e intentar identificar mediante los filtros de dónde proviene tanto tráfico. Para descargar, sigue esta liga: http://www.microsoft.com/downloads/details.aspx?familyid=983b941d-06cb-4658-b7f6-3088333d062f

    Por último, pero ya haciendo trabajo de artesano, podrías intentar identificar en tu switch/router qué equipo está generando tanto tráfico.

    Déjanos saber si podemos ayudarte en algo más. Hasta pronto!


    Pablo Alejandro Fain
    MCP, MCSA, MCTS, MCITP
    To follow me on Twitter, @pabloafain
    To view my LinkedIn Profile, click here
    This posting is provided AS IS, with no warranties
    • Marcado como respuesta Ismael Borche lunes, 5 de septiembre de 2011 19:50
    lunes, 22 de agosto de 2011 20:47

Todas las respuestas

  • Hola Diego, bienvenido a los foros de Microsoft TechNet.

    Seguramente algún moderador mueva tu consulta de foro, pero solo será por cuestiones administrativas. Déjame entender qué te está ocurriendo...

    Al parecer podrías estar ante la presencia del lejano Conficker. Por favor, asegúrate de antemano seguir las instrucciones de este artículo http://support.microsoft.com/kb/962007 en todos tus equipos de red.

    Por otro lado, podrías descargar una herramienta como Microsoft Network Monitor y hacerle escuchar todo el tráfico que circula por tu red (Ten cuidado, ejecútala en un equipo cliente ya que consumirá demasiados recursos de hardware) e intentar identificar mediante los filtros de dónde proviene tanto tráfico. Para descargar, sigue esta liga: http://www.microsoft.com/downloads/details.aspx?familyid=983b941d-06cb-4658-b7f6-3088333d062f

    Por último, pero ya haciendo trabajo de artesano, podrías intentar identificar en tu switch/router qué equipo está generando tanto tráfico.

    Déjanos saber si podemos ayudarte en algo más. Hasta pronto!


    Pablo Alejandro Fain
    MCP, MCSA, MCTS, MCITP
    To follow me on Twitter, @pabloafain
    To view my LinkedIn Profile, click here
    This posting is provided AS IS, with no warranties
    • Marcado como respuesta Ismael Borche lunes, 5 de septiembre de 2011 19:50
    lunes, 22 de agosto de 2011 20:47
  • Por cierto! por si sirve de algo en el servidor sospechoso me acaba de saltar el Nod32 diciendo ésto:

    \\tsclient\a\a.dll Win32/Agent.SYL Troyano

     

    Pero no me lo desinfecta yo creo porque viene de algún sitio de red! No puedo ni tirarlo ping a lo de tsclient por si me dice la ip.

    martes, 23 de agosto de 2011 11:42