Virus, troyano,... con SNMP?

05/05/2005 - 14:23 por CO | Informe spam
Muy buenas.

Escaneando un poco el tráfico de mi red he detectado que un cliente hace
peticiones constantemente por el puerto 161. Según he visto, esto está
relacionado con SNMP.

Las IPs a las que intenta acceder son de otra empresa en la que solemos
trabajar de forma temporal y en la que alguna vez se ha conectado ese
equipo.

Además se ha instalado una aplicación FTP que nos facilito esa misma
empresa.

Pero esto no me hace entender por qué motivo esa máquina hace peticiones por
el 161.

Entiendo que posibilidad de utilizar SMTP, por defecto, la tienen los SO de
servidores. Y si lo que se quiere es recopilar la información de SNMP hay
que instalar alguna aplicación, tambien del SO de servidor o de terceros.

¿No habrán metido algún troyano con ese cliente FTP?

¿Se puede utilizar el SNMP para mandar algún dato especial?

La preocupación que tengo es si se trata de espionaje industrial.


Gracias.

Preguntas similare

Leer las respuestas

#1 Rafael E. Villaseñor Jofré
06/05/2005 - 06:41 | Informe spam
Tal vez se encuentre instalado el cliente SNMP en la PC.
Tendrías que revisar eso. Solo le serviría al otro, si tiene acceso a tu LAN
de alguna forma y obtendría información de los dispositivos de red, como por
ejemplo routers, switches, servers, PC, siempre y cuando tengan clientes
SNMP y el tenga un software de monitoreo de SNMP.

Saludos.

Rafael E. Villaseñor Jofré
Tucuman 927 - Servicios Informáticos
Bs. As. - Argentina


"CO" escribió en el mensaje
news:
Muy buenas.

Escaneando un poco el tráfico de mi red he detectado que un cliente hace
peticiones constantemente por el puerto 161. Según he visto, esto está
relacionado con SNMP.

Las IPs a las que intenta acceder son de otra empresa en la que solemos
trabajar de forma temporal y en la que alguna vez se ha conectado ese
equipo.

Además se ha instalado una aplicación FTP que nos facilito esa misma
empresa.

Pero esto no me hace entender por qué motivo esa máquina hace peticiones
por el 161.

Entiendo que posibilidad de utilizar SMTP, por defecto, la tienen los SO
de servidores. Y si lo que se quiere es recopilar la información de SNMP
hay que instalar alguna aplicación, tambien del SO de servidor o de
terceros.

¿No habrán metido algún troyano con ese cliente FTP?

¿Se puede utilizar el SNMP para mandar algún dato especial?

La preocupación que tengo es si se trata de espionaje industrial.


Gracias.


Respuesta Responder a este mensaje
#2 CO
25/05/2005 - 12:05 | Informe spam
Muchas gracias.

Creo que se debe al driver de la impresora que instaló el usuario de la
máquina para imprimir un documento en la otra empresa.

De todas formas acceso no van a tener, así que no es tan crítico. Pero si el
ordenador se conecta nuevamente a su red, tienen la puerta abierta para
hacer lo que sea que haga.

De momento prefiero pensar que está relacionado con la impresora que
instaló.

En los servicios de la máuina no he visto que exista nada relacionado con
SNMP, ni servidor, ni cliente. Lo que no me he fijado es si en el registro
hay algún inicio de algún programa. Voy a mirar.

Muchas gracias.


"Rafael E. Villaseñor Jofré"
escribió en el mensaje news:%
Tal vez se encuentre instalado el cliente SNMP en la PC.
Tendrías que revisar eso. Solo le serviría al otro, si tiene acceso a tu
LAN de alguna forma y obtendría información de los dispositivos de red,
como por ejemplo routers, switches, servers, PC, siempre y cuando tengan
clientes SNMP y el tenga un software de monitoreo de SNMP.

Saludos.

Rafael E. Villaseñor Jofré
Tucuman 927 - Servicios Informáticos
Bs. As. - Argentina


"CO" escribió en el mensaje
news:
Muy buenas.

Escaneando un poco el tráfico de mi red he detectado que un cliente hace
peticiones constantemente por el puerto 161. Según he visto, esto está
relacionado con SNMP.

Las IPs a las que intenta acceder son de otra empresa en la que solemos
trabajar de forma temporal y en la que alguna vez se ha conectado ese
equipo.

Además se ha instalado una aplicación FTP que nos facilito esa misma
empresa.

Pero esto no me hace entender por qué motivo esa máquina hace peticiones
por el 161.

Entiendo que posibilidad de utilizar SMTP, por defecto, la tienen los SO
de servidores. Y si lo que se quiere es recopilar la información de SNMP
hay que instalar alguna aplicación, tambien del SO de servidor o de
terceros.

¿No habrán metido algún troyano con ese cliente FTP?

¿Se puede utilizar el SNMP para mandar algún dato especial?

La preocupación que tengo es si se trata de espionaje industrial.


Gracias.






email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida