Demasiados solicitudes

14/01/2008 - 17:49 por Joshua | Informe spam
Hola a todos, les comento mi inquietud.

hace unos dias mi proveedor de servicio de internet me bloqueo el servicio
argumentando que tenia virus uno de mis equipos ya que al parecer ese
servidor (Windows 2000 Server) esta enviando demasiadas peticiones a la red.
Yo lo estuve monitoreando con netstat -a con un intervalo de 15 seg y noto
que hay N cantidad de puertos que esta usando mi server y quiero pensar que
varios de ellos no tendrian por que estar activos.

Quiero pedir su opinion con este tema y para ello, les mando lo que me
arrojo ese comando una vez ejecutado.

Saludos.


Conexiones activas

Proto Dirección local Dirección remota Estado
TCP MYSERVER:kerberos-sec MYSERVER:0 LISTENING
TCP MYSERVER:epmap MYSERVER:0 LISTENING
TCP MYSERVER:ldap MYSERVER:0 LISTENING
TCP MYSERVER:microsoft-ds MYSERVER:0 LISTENING
TCP MYSERVER:464 MYSERVER:0 LISTENING
TCP MYSERVER:593 MYSERVER:0 LISTENING
TCP MYSERVER:ldaps MYSERVER:0 LISTENING
TCP MYSERVER:1026 MYSERVER:0 LISTENING
TCP MYSERVER:1029 MYSERVER:0 LISTENING
TCP MYSERVER:1041 MYSERVER:0 LISTENING
TCP MYSERVER:1042 MYSERVER:0 LISTENING
TCP MYSERVER:1048 MYSERVER:0 LISTENING
TCP MYSERVER:1060 MYSERVER:0 LISTENING
TCP MYSERVER:3268 MYSERVER:0 LISTENING
TCP MYSERVER:3269 MYSERVER:0 LISTENING
TCP MYSERVER:ldap MYSERVER:1293 ESTABLISHED
TCP MYSERVER:microsoft-ds MYSERVER:1031 ESTABLISHED
TCP MYSERVER:1031 MYSERVER:microsoft-ds ESTABLISHED
TCP MYSERVER:1293 MYSERVER:ldap ESTABLISHED
TCP MYSERVER:netbios-ssn MYSERVER:0 LISTENING
TCP MYSERVER:netbios-ssn ALMACENPC:1044 ESTABLISHED
TCP MYSERVER:ldap MYSERVER:1044 ESTABLISHED
TCP MYSERVER:ldap MYSERVER:2574 TIME_WAIT
TCP MYSERVER:ldap MYSERVER:2600 ESTABLISHED
TCP MYSERVER:ldap MYSERVER:2654 TIME_WAIT
TCP MYSERVER:ldap MYSERVER:2655 TIME_WAIT
TCP MYSERVER:ldap MYSERVER:2848 TIME_WAIT
TCP MYSERVER:1044 MYSERVER:ldap ESTABLISHED
TCP MYSERVER:2600 MYSERVER:ldap ESTABLISHED
TCP MYSERVER:2683 MYSERVER:epmap TIME_WAIT
TCP MYSERVER:2684 MYSERVER:1026 TIME_WAIT
TCP MYSERVER:2685 MYSERVER:epmap TIME_WAIT
TCP MYSERVER:2686 MYSERVER:1026 TIME_WAIT
TCP MYSERVER:2842 MYSERVER:epmap TIME_WAIT
TCP MYSERVER:2844 MYSERVER:1026 TIME_WAIT
TCP MYSERVER:2964 MYSERVER:ldap CLOSE_WAIT
TCP MYSERVER:2968 MYSERVER:ldap CLOSE_WAIT
UDP MYSERVER:epmap *:*
UDP MYSERVER:microsoft-ds *:*
UDP MYSERVER:1028 *:*
UDP MYSERVER:1038 *:*
UDP MYSERVER:1043 *:*
UDP MYSERVER:1047 *:*
UDP MYSERVER:1062 *:*
UDP MYSERVER:2026 *:*
UDP MYSERVER:2847 *:*
UDP MYSERVER:2959 *:*
UDP MYSERVER:2963 *:*
UDP MYSERVER:11050 *:*
UDP MYSERVER:kerberos-sec *:*
UDP MYSERVER:ntp *:*
UDP MYSERVER:netbios-ns *:*
UDP MYSERVER:netbios-dgm *:*
UDP MYSERVER:389 *:*
UDP MYSERVER:464 *:*
UDP MYSERVER:isakmp *:*
UDP MYSERVER:4500 *:*

Conexiones activas

Proto Dirección local Dirección remota Estado
TCP MYSERVER:kerberos-sec MYSERVER:0 LISTENING
TCP MYSERVER:epmap MYSERVER:0 LISTENING
TCP MYSERVER:ldap MYSERVER:0 LISTENING
TCP MYSERVER:microsoft-ds MYSERVER:0 LISTENING
TCP MYSERVER:464 MYSERVER:0 LISTENING
TCP MYSERVER:593 MYSERVER:0 LISTENING
TCP MYSERVER:ldaps MYSERVER:0 LISTENING
TCP MYSERVER:1026 MYSERVER:0 LISTENING
TCP MYSERVER:1029 MYSERVER:0 LISTENING
TCP MYSERVER:1041 MYSERVER:0 LISTENING
TCP MYSERVER:1042 MYSERVER:0 LISTENING
TCP MYSERVER:1048 MYSERVER:0 LISTENING
TCP MYSERVER:1060 MYSERVER:0 LISTENING
TCP MYSERVER:3268 MYSERVER:0 LISTENING
TCP MYSERVER:3269 MYSERVER:0 LISTENING
TCP MYSERVER:ldap MYSERVER:1293 ESTABLISHED
TCP MYSERVER:microsoft-ds MYSERVER:1031 ESTABLISHED
TCP MYSERVER:1031 MYSERVER:microsoft-ds ESTABLISHED
TCP MYSERVER:1293 MYSERVER:ldap ESTABLISHED
TCP MYSERVER:netbios-ssn MYSERVER:0 LISTENING
TCP MYSERVER:netbios-ssn ALMACENPC:1044 ESTABLISHED
TCP MYSERVER:ldap MYSERVER:1044 ESTABLISHED
TCP MYSERVER:ldap MYSERVER:2574 TIME_WAIT
TCP MYSERVER:ldap MYSERVER:2600 ESTABLISHED
TCP MYSERVER:ldap MYSERVER:2654 TIME_WAIT
TCP MYSERVER:ldap MYSERVER:2655 TIME_WAIT
TCP MYSERVER:ldap MYSERVER:2848 TIME_WAIT
TCP MYSERVER:1044 MYSERVER:ldap ESTABLISHED
TCP MYSERVER:2600 MYSERVER:ldap ESTABLISHED
TCP MYSERVER:2683 MYSERVER:epmap TIME_WAIT
TCP MYSERVER:2684 MYSERVER:1026 TIME_WAIT
TCP MYSERVER:2685 MYSERVER:epmap TIME_WAIT
TCP MYSERVER:2686 MYSERVER:1026 TIME_WAIT
TCP MYSERVER:2842 MYSERVER:epmap TIME_WAIT
TCP MYSERVER:2844 MYSERVER:1026 TIME_WAIT
TCP MYSERVER:2964 MYSERVER:ldap CLOSE_WAIT
TCP MYSERVER:2968 MYSERVER:ldap CLOSE_WAIT
UDP MYSERVER:epmap *:*
UDP MYSERVER:microsoft-ds *:*
UDP MYSERVER:1028 *:*
UDP MYSERVER:1038 *:*
UDP MYSERVER:1043 *:*
UDP MYSERVER:1047 *:*
UDP MYSERVER:1062 *:*
UDP MYSERVER:2026 *:*
UDP MYSERVER:2847 *:*
UDP MYSERVER:2959 *:*
UDP MYSERVER:2963 *:*
UDP MYSERVER:11050 *:*
UDP MYSERVER:kerberos-sec *:*
UDP MYSERVER:ntp *:*
UDP MYSERVER:netbios-ns *:*
UDP MYSERVER:netbios-dgm *:*
UDP MYSERVER:389 *:*
UDP MYSERVER:464 *:*
UDP MYSERVER:isakmp *:*
UDP MYSERVER:4500 *:*
 

Leer las respuestas

#1 Diego Uribe
14/01/2008 - 21:46 | Informe spam
No se ve nada exageradamente raro

Descarga un programa llamado TCPVIEW y puedes ver la misma información con
el nombre del proceso, de forma gráfica y organizable y se actualiza cada
ciertos segundos.

Como te digo no se ve nada raro.

¿Tienes un Firewall Activo?

Las posibilidades que tienes son 2...

1. Que tu servidor tenga un zombie, gusano, conejo, robot . virus o
software por el estilo que este enviando demasiadas peticiones a uno o
muchos sitios.

2. Si no tienes firewall, y viendo que ldap abierto lo esten atacando.

La sugerencias son:

1. Ejecuta programas como antivirus y antiespias.
2. Instala un firewall y dale permiso unicamente a lo que debe salir.
3. Consulta con el proveedor de internet (ISP) para ver si te envia una
copia del log en el que se apoyan para decirte esto.
4. Revisa que no tengas programas p2p instalados que salgan por esa conexión
5. A la tarjeta que tiene internet, asegurate de quitarle el uso de NetBIOS

Espero respuesta a ver que ha pasado. Esperemos tambien que con esta breve
clase de seguridad se pueda hacer algo

Saludos

Diego Uribe





"Joshua" escribió en el mensaje
news:
Hola a todos, les comento mi inquietud.

hace unos dias mi proveedor de servicio de internet me bloqueo el servicio
argumentando que tenia virus uno de mis equipos ya que al parecer ese
servidor (Windows 2000 Server) esta enviando demasiadas peticiones a la
red.
Yo lo estuve monitoreando con netstat -a con un intervalo de 15 seg y noto
que hay N cantidad de puertos que esta usando mi server y quiero pensar
que
varios de ellos no tendrian por que estar activos.

Quiero pedir su opinion con este tema y para ello, les mando lo que me
arrojo ese comando una vez ejecutado.

Saludos.


Conexiones activas

Proto Dirección local Dirección remota Estado
TCP MYSERVER:kerberos-sec MYSERVER:0 LISTENING
TCP MYSERVER:epmap MYSERVER:0 LISTENING
TCP MYSERVER:ldap MYSERVER:0 LISTENING
TCP MYSERVER:microsoft-ds MYSERVER:0 LISTENING
TCP MYSERVER:464 MYSERVER:0 LISTENING
TCP MYSERVER:593 MYSERVER:0 LISTENING
TCP MYSERVER:ldaps MYSERVER:0 LISTENING
TCP MYSERVER:1026 MYSERVER:0 LISTENING
TCP MYSERVER:1029 MYSERVER:0 LISTENING
TCP MYSERVER:1041 MYSERVER:0 LISTENING
TCP MYSERVER:1042 MYSERVER:0 LISTENING
TCP MYSERVER:1048 MYSERVER:0 LISTENING
TCP MYSERVER:1060 MYSERVER:0 LISTENING
TCP MYSERVER:3268 MYSERVER:0 LISTENING
TCP MYSERVER:3269 MYSERVER:0 LISTENING
TCP MYSERVER:ldap MYSERVER:1293 ESTABLISHED
TCP MYSERVER:microsoft-ds MYSERVER:1031 ESTABLISHED
TCP MYSERVER:1031 MYSERVER:microsoft-ds ESTABLISHED
TCP MYSERVER:1293 MYSERVER:ldap ESTABLISHED
TCP MYSERVER:netbios-ssn MYSERVER:0 LISTENING
TCP MYSERVER:netbios-ssn ALMACENPC:1044 ESTABLISHED
TCP MYSERVER:ldap MYSERVER:1044 ESTABLISHED
TCP MYSERVER:ldap MYSERVER:2574 TIME_WAIT
TCP MYSERVER:ldap MYSERVER:2600 ESTABLISHED
TCP MYSERVER:ldap MYSERVER:2654 TIME_WAIT
TCP MYSERVER:ldap MYSERVER:2655 TIME_WAIT
TCP MYSERVER:ldap MYSERVER:2848 TIME_WAIT
TCP MYSERVER:1044 MYSERVER:ldap ESTABLISHED
TCP MYSERVER:2600 MYSERVER:ldap ESTABLISHED
TCP MYSERVER:2683 MYSERVER:epmap TIME_WAIT
TCP MYSERVER:2684 MYSERVER:1026 TIME_WAIT
TCP MYSERVER:2685 MYSERVER:epmap TIME_WAIT
TCP MYSERVER:2686 MYSERVER:1026 TIME_WAIT
TCP MYSERVER:2842 MYSERVER:epmap TIME_WAIT
TCP MYSERVER:2844 MYSERVER:1026 TIME_WAIT
TCP MYSERVER:2964 MYSERVER:ldap CLOSE_WAIT
TCP MYSERVER:2968 MYSERVER:ldap CLOSE_WAIT
UDP MYSERVER:epmap *:*
UDP MYSERVER:microsoft-ds *:*
UDP MYSERVER:1028 *:*
UDP MYSERVER:1038 *:*
UDP MYSERVER:1043 *:*
UDP MYSERVER:1047 *:*
UDP MYSERVER:1062 *:*
UDP MYSERVER:2026 *:*
UDP MYSERVER:2847 *:*
UDP MYSERVER:2959 *:*
UDP MYSERVER:2963 *:*
UDP MYSERVER:11050 *:*
UDP MYSERVER:kerberos-sec *:*
UDP MYSERVER:ntp *:*
UDP MYSERVER:netbios-ns *:*
UDP MYSERVER:netbios-dgm *:*
UDP MYSERVER:389 *:*
UDP MYSERVER:464 *:*
UDP MYSERVER:isakmp *:*
UDP MYSERVER:4500 *:*

Conexiones activas

Proto Dirección local Dirección remota Estado
TCP MYSERVER:kerberos-sec MYSERVER:0 LISTENING
TCP MYSERVER:epmap MYSERVER:0 LISTENING
TCP MYSERVER:ldap MYSERVER:0 LISTENING
TCP MYSERVER:microsoft-ds MYSERVER:0 LISTENING
TCP MYSERVER:464 MYSERVER:0 LISTENING
TCP MYSERVER:593 MYSERVER:0 LISTENING
TCP MYSERVER:ldaps MYSERVER:0 LISTENING
TCP MYSERVER:1026 MYSERVER:0 LISTENING
TCP MYSERVER:1029 MYSERVER:0 LISTENING
TCP MYSERVER:1041 MYSERVER:0 LISTENING
TCP MYSERVER:1042 MYSERVER:0 LISTENING
TCP MYSERVER:1048 MYSERVER:0 LISTENING
TCP MYSERVER:1060 MYSERVER:0 LISTENING
TCP MYSERVER:3268 MYSERVER:0 LISTENING
TCP MYSERVER:3269 MYSERVER:0 LISTENING
TCP MYSERVER:ldap MYSERVER:1293 ESTABLISHED
TCP MYSERVER:microsoft-ds MYSERVER:1031 ESTABLISHED
TCP MYSERVER:1031 MYSERVER:microsoft-ds ESTABLISHED
TCP MYSERVER:1293 MYSERVER:ldap ESTABLISHED
TCP MYSERVER:netbios-ssn MYSERVER:0 LISTENING
TCP MYSERVER:netbios-ssn ALMACENPC:1044 ESTABLISHED
TCP MYSERVER:ldap MYSERVER:1044 ESTABLISHED
TCP MYSERVER:ldap MYSERVER:2574 TIME_WAIT
TCP MYSERVER:ldap MYSERVER:2600 ESTABLISHED
TCP MYSERVER:ldap MYSERVER:2654 TIME_WAIT
TCP MYSERVER:ldap MYSERVER:2655 TIME_WAIT
TCP MYSERVER:ldap MYSERVER:2848 TIME_WAIT
TCP MYSERVER:1044 MYSERVER:ldap ESTABLISHED
TCP MYSERVER:2600 MYSERVER:ldap ESTABLISHED
TCP MYSERVER:2683 MYSERVER:epmap TIME_WAIT
TCP MYSERVER:2684 MYSERVER:1026 TIME_WAIT
TCP MYSERVER:2685 MYSERVER:epmap TIME_WAIT
TCP MYSERVER:2686 MYSERVER:1026 TIME_WAIT
TCP MYSERVER:2842 MYSERVER:epmap TIME_WAIT
TCP MYSERVER:2844 MYSERVER:1026 TIME_WAIT
TCP MYSERVER:2964 MYSERVER:ldap CLOSE_WAIT
TCP MYSERVER:2968 MYSERVER:ldap CLOSE_WAIT
UDP MYSERVER:epmap *:*
UDP MYSERVER:microsoft-ds *:*
UDP MYSERVER:1028 *:*
UDP MYSERVER:1038 *:*
UDP MYSERVER:1043 *:*
UDP MYSERVER:1047 *:*
UDP MYSERVER:1062 *:*
UDP MYSERVER:2026 *:*
UDP MYSERVER:2847 *:*
UDP MYSERVER:2959 *:*
UDP MYSERVER:2963 *:*
UDP MYSERVER:11050 *:*
UDP MYSERVER:kerberos-sec *:*
UDP MYSERVER:ntp *:*
UDP MYSERVER:netbios-ns *:*
UDP MYSERVER:netbios-dgm *:*
UDP MYSERVER:389 *:*
UDP MYSERVER:464 *:*
UDP MYSERVER:isakmp *:*
UDP MYSERVER:4500 *:*


Preguntas similares