Foros de daboweb

SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: ticogotenks en 22 de Julio de 2004, 01:06:51 pm

Título: Me atacaron y no se que hacer
Publicado por: ticogotenks en 22 de Julio de 2004, 01:06:51 pm

Tengo el blackice pc protection, win2k.

me ataco

IP: xxx.xx.xxx.153
Node: VDOS          
Group: WORKGROUP      
NetBIOS: WORKGROUP
MAC: 444553540000
DNS: 153-xxx-xx.xxx.xxx.x

es un ataque de nivel citico (7)
"Critical. These are deliberate attacks on your system for the purpose of damaging data, extracting data, or crashing the system. Critical events always trigger protection measures."

el problema es que la nivel de responsavilidad es:
"Attack Status Unknown. The intrusion triggered protection measures, but some intruding packets may have made it through to your computer. It is unlikely that the event compromised your system."

la informacion del evento es:

"2000502 : Connection to SMB server with no password
la informacion que se entrega es :
Summary

A successful connection has been made to an SMB server with an empty password.

Details

Passwords should be used on all sharable resources on your system to prevent undesired remote access.

If the address of the intruder is outside of your network, you should consider that the information on your system has been compromised. You should immediately implement passwords for all users and/or shares on your system. "

Lo que deseo saber es que tan serio es este ataque, los detalles y si debo preocuparme

Título: Me atacaron y no se que hacer
Publicado por: BuHo en 22 de Julio de 2004, 02:05:06 pm

Pues basicamente se han conectado a tus recursos compartidos con una contraseña nula, algo bastante comun pero que no deberia suceder si el firewall bloquease el acceso a los puertos 135,137,139 y 445 y si establecieras contraseña para los recursos compartidos.

Mientras no te hayan borrado nada, el ataque, si pones remedio, no tiene mayor importancia. Eso si, cambia las contraseñas de inicio de sesion y de paginas webs en las que tengas activado "recordar contraseña", por si acaso...

Título: Me atacaron y no se que hacer
Publicado por: Dabo en 22 de Julio de 2004, 06:51:40 pm

efectivamente, borra todas las contraseñas almacenadas y cambia las que tengas, correo, etc, tambien tienes que poner a punto el firewall y procurar cerrar algun puerto innecesario

ve a conexiones de red, propiedades, avanzadas y quita la casilla de "compartir archivos e impresoras a traves de la red"

saludos

Título: Me atacaron y no se que hacer
Publicado por: ticogotenks en 23 de Julio de 2004, 08:09:11 am

Muchas gracias

BuHo:
Los puertos estan bloqueados por el firewall y segun las paginas de test de seguridad esos puertos estan invisibles
Al parecer no me borraron nada cambia contraseña de inisio de sesion y nunca "recordo contraseña"

DaBo:
Quite la casilla de "compartir archivos e impresoras a traves de la red"

dos pregunta

cual es la diferencia entre puerto TCP y UDP
¿esos son puertos de entrada y salida? o estoy equivocado

El firewall que uso es el blackice, y me pone por defecto que el puerto 113/TCP lo acepte siempre, y en los test de seguridad sale como cerrado.
lo dejo asi o lo bloqueo ya que:

auth            113/tcp    Authentication Service
auth            113/udp    Authentication Service

y ultimo haber si me sacan una duda que resien tengo
En el ataque me sale como informacion, y quiero saber que significa
Protocol ID (TCP)
Destination Port(4921)
Source Port(139)

Creo que significa que el me ataco mediante "protocolo de contral de transferencia de archivos" me diante un puerto del atacante 139 me ataca a mi atraves del puerto 4921 , o al reves.

Hasta luego y muchas gracias
Diculpen por las preguntas, pero las hago del rincon de la ignorancia.

Título: Me atacaron y no se que hacer
Publicado por: Dabo en 24 de Julio de 2004, 12:15:59 am

Citar

cual es la diferencia entre puerto TCP y UDP
¿esos son puertos de entrada y salida? o estoy equivocado

un puerto TCP o mejor dicho un puerto que se conecta por el protocolo TCP es uno orientado a la conexion total, peticion-respuesta-confirmacion-desconexion, mas o menos explicado asi

por ejemplo el protocolo  SMTP es el indicado para enviar el correo electronico, hay un envio de paquetes que van fragmentados, el protocolo TCP-IP se encarga de enviarlos por la red mediante fragmentos  y que lleguen a su destino "en orden" confirmando su correcto envio - recibo

un puerto UDP no esta orientado a la conexion, por ejemplo una emision de real audio o un troyano escuchando un puerto

creo que deberias de leer esto de nuestros foros

http://www.daboweb.com/foros/index.php?topic=36

te sacara de dudas

Citar

y ultimo haber si me sacan una duda que resien tengo
En el ataque me sale como informacion, y quiero saber que significa
Protocol ID (TCP)
Destination Port(4921)
Source Port(139)

identificacion del protocolo TCP

puerto de destino 4921

puerto de origen 139 (net bios)

(busca info en google sobre esos puertos)


ando fatal de tiempo pero lee lo que te comento y lo veras mas claro

un saludo  :wink:

Título: Me atacaron y no se que hacer
Publicado por: ticogotenks en 24 de Julio de 2004, 09:44:39 am

gracias , ya lei el links

pero tengo una duda

El blackice me pone por defecto que el puerto 113/TCP lo acepte siempre, y en los test de seguridad sale como cerrado.
¿lo dejo asi o lo bloqueo ya que?