Seguimos con el Sasser (y van...)

08/05/2004 - 13:58 por Packo | Informe spam
Bueno, en primer lugar decir que despues de mucho tiempo sin estar por aquí,
he hecho promesa aunque incluso de dormir un poco menos para pasarme un
ratito por aqui cada día.
Y ahora a lo que iba.

Supongamos un caso hipotetico xDDDD:

Una serie de maquinas en un dominio W2000. Estas maquinas la unica tarea (y
por suerte cumplida) es ejecutar una aplicación que se conecta a una base de
datos SQL que tiene vinculos con un servidor de ficheros. Estas maquinas
están logadas siempre con el mismo usuario (generico) independientemente del
usuario que esté sentado delante de ella. Debido a una mala planificacion,
seguridad o lo que querais (creo que no es el momento (hipotetico claro ;))
de buscar responsabilidades, además de que no es mi trabajo), parte de la
red (bueno, me ciño a la VLAN en la que están estas maquinas) se ha visto
infectada por el Sasser. Las maquinas y servidores (aparentemente no hubo
ninguno infectado) ya han sido actualizados y limpiados sin notarse (de
momento) efectos secundarios. Por motivos corporativos estas maquinas no
pueden ser reinstaladas ni formateadas. Algun tipo de consideración más
aparte de lo ya realizado?

Salu2
Packo
 

Leer las respuestas

#1 JM Tella Llop [MVP Windows]
08/05/2004 - 14:00 | Informe spam
* Hay que distinguir si ha sudo una inocente infeccion por saster pura (es decir, por ejemplo que un portatil externo infectado te haya infectado tu red), o bien si ademas del sasster ha podido existir una intrusion. Este sería el primer paso para poder discarnor si se impone o no un formateo.

* Por si acaso no lo tuvieseis, cierra con cortafueagos la salida de toda tu LAN al exterior y unicamente salir por proxys y configurados con los puertos estandar. De esta manera una via de posible fuga de informacion o la cierras... o como supongo ya la tenias cerrada.

* Pasa herramientas de localizacion de posibles rootkit.

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




"Packo" <packo#terraQUEOS.es> wrote in message news:%
Bueno, en primer lugar decir que despues de mucho tiempo sin estar por aquí,
he hecho promesa aunque incluso de dormir un poco menos para pasarme un
ratito por aqui cada día.
Y ahora a lo que iba.

Supongamos un caso hipotetico xDDDD:

Una serie de maquinas en un dominio W2000. Estas maquinas la unica tarea (y
por suerte cumplida) es ejecutar una aplicación que se conecta a una base de
datos SQL que tiene vinculos con un servidor de ficheros. Estas maquinas
están logadas siempre con el mismo usuario (generico) independientemente del
usuario que esté sentado delante de ella. Debido a una mala planificacion,
seguridad o lo que querais (creo que no es el momento (hipotetico claro ;))
de buscar responsabilidades, además de que no es mi trabajo), parte de la
red (bueno, me ciño a la VLAN en la que están estas maquinas) se ha visto
infectada por el Sasser. Las maquinas y servidores (aparentemente no hubo
ninguno infectado) ya han sido actualizados y limpiados sin notarse (de
momento) efectos secundarios. Por motivos corporativos estas maquinas no
pueden ser reinstaladas ni formateadas. Algun tipo de consideración más
aparte de lo ya realizado?

Salu2
Packo


Preguntas similares