Pages

Ads 468x60px

martes, 21 de agosto de 2012

Suspicious activity...

Hola a tod@s.

Hoy a última hora me ha llegado un ticket para revisar un problema de un pc que estaba enviando trafico presuntamente ilegitimo.
El ticket contenía esto:

Suspicious activity from host 10.128.237.163 to 115 local destinations, mainly on SNMP protocols ports. Network scan lasted 6 minutes and 18 seconds and in that time host generated 232 events. Source port for that traffic was 1163 which is known as port for sddp protocol. Such volume of communication on that port seems to be suspicious if the source host is not a server which runs that kind of scanning periodically.

Please determine whether this kind of traffic is legitimate and inform us about that. 


Y el departamento de turno nos adjuntaba esto desde trend micro:



   
Pues bien, me he puesto manos a la obra con mi compañero.
Conectados en remoto con el equipo que estaba dando los problemas, hemos usado wireshark para ver que conexiones se estaban estableciendo y rápidamente hemos encontrado las peticiones rarunas.

Localizado esto, hemos buscado programas "sospechosos" desde "agregar o quitar programas. Si, ya se que no hay sitio peor para buscar, pero allí no tienen herramientas para usar, -de hecho el wireshark lo he instalado por mi cuenta y ya veremos si me cae bronca- allí si hay un problema de este tipo no pierden el tiempo, le pasan la imagen al equipo y se dejan de historias, ya que tienen un tiempo estimado de resolución de los casos etc.
Hoy hemos tenido suerte y como estamos en Agosto hemos decidido echarle un rato y entretenernos.

Como comentaba, revisando el panel del agregar y quitar programas, hemos encontrado un programita que era una tool-bar. Analizando con el RDG Packer Detector ha resultado ser un troyano (ahora no recuerdo el nombre). Total que hemos desinstalado la barrita y hemos estado buscando a ver si había algún proceso extraño o algún archivo más "sospechoso" sin ninguna suerte jeje.

Al final, los superiores han dicho que teníamos que pasarle la imagen, parece ser que no quieren tener problemas, lo cual entiendo, porque solo en las oficinas de Madrid son mas de 200 equipos, sin contar los 60 comerciales y las 12 sedes que hay por Europa y las 2 de EEUU...

Al menos nos hemos entretenido un rato :D

No pongo mas fotos del procesoporque con mi compañero delante no me iba a poner a sacar pantallazos y explicarle para que eran y porque no quiero tener problemas, espero que al poner las 3 imágenes no me este metiendo ya en un lió, que aquí son muy raritos.

Saludos.
Creative Commons Licence
1Gb De informacion by Roberto García Amoriz is licensed under a Creative Commons Attribution-NonCommercial 3.0 Unported License.
Based on a work at http://www.1gbdeinformacion.com/.
Permissions beyond the scope of this license may be available at http://www.1gbdeinformacion.com/.

Perfil profesional en Linkedin

 
Blogger Templates