Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

Registro de logs excesivo

12/03/2009 - 13:29 por Abast | Informe spam
Ayuda Hacer una pregunta
Buenos dias,

Hace un tiempo muchos de nuestros pcs del dominio se quedaron infectados por
el virus WORM_DOWNAD. Actualmente nuestro antivirus ya solucionó el problema
y no tenemos ninguna infección.

Pero ahora resulta que el archivo de logs de las conexiones de los usuarios
es una pasada (tiene unos 300MB y solo ve los registros de las últimas 12
horas!) Antes podiamos ver incluso lo que había pasado en los últimos 15 dias.

No sabemos que hacer mas. Pasamos el Active Ports en los clientes y en todos
salia un proceso unknown que apuntaba a la IP 76.13.216.11 a través del
puerto 80. En el servidor con el active ports no aparece nada...

Un saludo y gracias por vuestra ayuda.
email Siga el debateRespuesta 3 respuestasRespuesta Tengo una respuesta

Preguntas similare

Leer las respuestas

#1 Daniel Graciá
12/03/2009 - 18:22 | Informe spam
Hola buenas tardes,

¿Pero esos 300MB de registros son actuales, o la mayoría se ocasionaron
cuando los clientes estaban infectados?
Tendrás que investigar que proceso intenta acceder a esa IP, que
dependencias tiene.

Por mirar algo cerciorate de que el fichero HOSTS de los clientes que hacen
peticiones a esa IP, no tengan nada relacionado con esa IP.
Puedes bloquear con el Firewall corporativo la salida y entrada de esa IP,
si es que no pertenece a tu organización.

Saludos.

"Abast" escribió en el mensaje de noticias
news:
Buenos dias,

Hace un tiempo muchos de nuestros pcs del dominio se quedaron infectados
por
el virus WORM_DOWNAD. Actualmente nuestro antivirus ya solucionó el
problema
y no tenemos ninguna infección.

Pero ahora resulta que el archivo de logs de las conexiones de los
usuarios
es una pasada (tiene unos 300MB y solo ve los registros de las últimas 12
horas!) Antes podiamos ver incluso lo que había pasado en los últimos 15
dias.

No sabemos que hacer mas. Pasamos el Active Ports en los clientes y en
todos
salia un proceso unknown que apuntaba a la IP 76.13.216.11 a través del
puerto 80. En el servidor con el active ports no aparece nada...

Un saludo y gracias por vuestra ayuda.
Respuesta Responder a este mensaje
#2 Guillermo Delprato [MS-MVP]
12/03/2009 - 22:02 | Informe spam
Es evidente que el antivirus no solucionó...


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com

Este mensaje se proporciona "como está" sin garantías de ninguna clase, ni
otorga ningún derecho. Ud. asume los riesgos.
This posting is provide "as is" with no warranties and confers no rights.
You assume all risk for your use.
_____________________


"Abast" wrote in message
news:
Buenos dias,

Hace un tiempo muchos de nuestros pcs del dominio se quedaron infectados
por
el virus WORM_DOWNAD. Actualmente nuestro antivirus ya solucionó el
problema
y no tenemos ninguna infección.

Pero ahora resulta que el archivo de logs de las conexiones de los
usuarios
es una pasada (tiene unos 300MB y solo ve los registros de las últimas 12
horas!) Antes podiamos ver incluso lo que había pasado en los últimos 15
dias.

No sabemos que hacer mas. Pasamos el Active Ports en los clientes y en
todos
salia un proceso unknown que apuntaba a la IP 76.13.216.11 a través del
puerto 80. En el servidor con el active ports no aparece nada...

Un saludo y gracias por vuestra ayuda.
Respuesta Responder a este mensaje
#3 Abast
17/03/2009 - 09:16 | Informe spam
Hola, buenos dias Daniel,

Estos 300MB son actuales, desde ayer hasta hoy, no vemos nada mas, todo
tiene que ver con el mismo dia. Lo mas raro es que he mirado los EventsID y
todos son correctos (es decir, son logins y logoffs correctos).

La ip en concreto se refiere a Yahoo
(http://www.ip-adress.com/whois/76.13.216.11)

En el archivo Hosts no hay nada de nada (solo la IP del loopback). El
problema que tenemos es que nos da igual si esa IP accede a fuera
(seguramente sean las toolbar de yahoo, pero que se registren 300MB de logs
diarios es demasiado.

Un saludo,

Samuel

"Daniel Graciá" wrote:

Hola buenas tardes,

¿Pero esos 300MB de registros son actuales, o la mayoría se ocasionaron
cuando los clientes estaban infectados?
Tendrás que investigar que proceso intenta acceder a esa IP, que
dependencias tiene.

Por mirar algo cerciorate de que el fichero HOSTS de los clientes que hacen
peticiones a esa IP, no tengan nada relacionado con esa IP.
Puedes bloquear con el Firewall corporativo la salida y entrada de esa IP,
si es que no pertenece a tu organización.

Saludos.

"Abast" escribió en el mensaje de noticias
news:
> Buenos dias,
>
> Hace un tiempo muchos de nuestros pcs del dominio se quedaron infectados
> por
> el virus WORM_DOWNAD. Actualmente nuestro antivirus ya solucionó el
> problema
> y no tenemos ninguna infección.
>
> Pero ahora resulta que el archivo de logs de las conexiones de los
> usuarios
> es una pasada (tiene unos 300MB y solo ve los registros de las últimas 12
> horas!) Antes podiamos ver incluso lo que había pasado en los últimos 15
> dias.
>
> No sabemos que hacer mas. Pasamos el Active Ports en los clientes y en
> todos
> salia un proceso unknown que apuntaba a la IP 76.13.216.11 a través del
> puerto 80. En el servidor con el active ports no aparece nada...
>
> Un saludo y gracias por vuestra ayuda.


email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida