Seguimos con el Sasser (y van...)

* Hay que distinguir si ha sudo una inocente infeccion por saster pura (es decir, por ejemplo que un portatil externo infectado te haya infectado tu red), o bien si ademas del sasster ha podido existir una intrusion. Este sería el primer paso para poder discarnor si se impone o no un formateo.

* Por si acaso no lo tuvieseis, cierra con cortafueagos la salida de toda tu LAN al exterior y unicamente salir por proxys y configurados con los puertos estandar. De esta manera una via de posible fuga de informacion o la cierras... o como supongo ya la tenias cerrada.

* Pasa herramientas de localizacion de posibles rootkit.

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




"Packo" <packo#terraQUEOS.es> wrote in message news:%

Bueno, en primer lugar decir que despues de mucho tiempo sin estar por aquí,
he hecho promesa aunque incluso de dormir un poco menos para pasarme un
ratito por aqui cada día.
Y ahora a lo que iba.

Supongamos un caso hipotetico xDDDD:

Una serie de maquinas en un dominio W2000. Estas maquinas la unica tarea (y
por suerte cumplida) es ejecutar una aplicación que se conecta a una base de
datos SQL que tiene vinculos con un servidor de ficheros. Estas maquinas
están logadas siempre con el mismo usuario (generico) independientemente del
usuario que esté sentado delante de ella. Debido a una mala planificacion,
seguridad o lo que querais (creo que no es el momento (hipotetico claro ;))
de buscar responsabilidades, además de que no es mi trabajo), parte de la
red (bueno, me ciño a la VLAN en la que están estas maquinas) se ha visto
infectada por el Sasser. Las maquinas y servidores (aparentemente no hubo
ninguno infectado) ya han sido actualizados y limpiados sin notarse (de
momento) efectos secundarios. Por motivos corporativos estas maquinas no
pueden ser reinstaladas ni formateadas. Algun tipo de consideración más
aparte de lo ya realizado?

Salu2
Packo

toda la Lan sale al exterior mediante 2 proxys, una DMZ y todas esas cosas
ques esupone que tienen que tener las redes corporativas (digo que se
suponen porque entre otras cosas no creas que en mi curro cuentan nada de
como está montada la red y claro luego pasan cosas y te vuelves medio mico
para solucionarlas y cuando lo haces, realmente no sabes porque ha sucedido,
asi que lo del Sasser le pasa tres cuartos de lo mismo. Si ha sido una
intrusion (que sinceramente no creo), jamas nos enteraremos (eso de asumir
responsabilidades no se lleva) , yo opto por algun portatil que se ha
infectado por ahí fuera y ha venido al trabajo a 'compartir' el virus.

Salu2
Packo

"JM Tella Llop [MVP Windows]" escribió en el mensaje
news:
* Hay que distinguir si ha sudo una inocente infeccion por saster pura (es
decir, por ejemplo que un portatil externo infectado te haya infectado tu
red), o bien si ademas del sasster ha podido existir una intrusion. Este
sería el primer paso para poder discarnor si se impone o no un formateo.

* Por si acaso no lo tuvieseis, cierra con cortafueagos la salida de toda tu
LAN al exterior y unicamente salir por proxys y configurados con los puertos
estandar. De esta manera una via de posible fuga de informacion o la
cierras... o como supongo ya la tenias cerrada.

* Pasa herramientas de localizacion de posibles rootkit.

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no
otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.




"Packo" <packo#terraQUEOS.es> wrote in message
news:%

Bueno, en primer lugar decir que despues de mucho tiempo sin estar por

aquí,

he hecho promesa aunque incluso de dormir un poco menos para pasarme un
ratito por aqui cada día.
Y ahora a lo que iba.

Supongamos un caso hipotetico xDDDD:

Una serie de maquinas en un dominio W2000. Estas maquinas la unica tarea

(y

por suerte cumplida) es ejecutar una aplicación que se conecta a una base

de

datos SQL que tiene vinculos con un servidor de ficheros. Estas maquinas
están logadas siempre con el mismo usuario (generico) independientemente

del

usuario que esté sentado delante de ella. Debido a una mala planificacion,
seguridad o lo que querais (creo que no es el momento (hipotetico claro

;))

de buscar responsabilidades, además de que no es mi trabajo), parte de la
red (bueno, me ciño a la VLAN en la que están estas maquinas) se ha visto
infectada por el Sasser. Las maquinas y servidores (aparentemente no hubo
ninguno infectado) ya han sido actualizados y limpiados sin notarse (de
momento) efectos secundarios. Por motivos corporativos estas maquinas no
pueden ser reinstaladas ni formateadas. Algun tipo de consideración más
aparte de lo ya realizado?

Salu2
Packo