settingsLogin | Registersettings
Es tu primera visita? Te invitamos a visitar nuestra sección de preguntas frecuentes FAQ!
x
Show Menu

Servidor Windows 2003 con un virus troyano

+2 votos

Hola,

Desde hace màs de 15 dìas tengo un problema con un servidor Windows 2003 y su consumaciôn de ancho de banda hacia el internet.

Como pueden ver en la foto este servidor està la la zona DMZ, puden ver el gràfico del alto consumo cuando tengo activado en el firewall el puerto 443 y 80 de salida (interface outside hacia el internet).

Pueden ver la gràfica de consumo en la interface OUTSIDE (internet)

Ya descubrìmos por medio de un sniffer (Wire Shark) que este servidor xcon ip x.28.254.19 descarga datos en el puerto 443 y 80 desde varias IP desde internet, como pueden ver en la gràfica:

Llevamos bastanet tiempo tratando de solucionar este problema, hemos ejecutado un anti-virus y un anti-malware, pero sabemos que posiblmente hay un caballo de troya o algun software que està haciendo esto.

De parte de ustedes los expertos, necesito un buen anti-virus, anti-malware o alti-algo para quitar este software malisioso del servidor antes de formatear e instalar de nuevo, porque sospechamos que hay otro servidor con este problema en otro lado.

Gracias.

por (926 puntos)  
Buenos Dias

Has probado el Wire Shark, o el Microsoft Network Monitor para ver el trafico de red

Un saludo.
Hola,
Muchas gracias por todas su respuestas, estoy muy sorprendido con la colaboraciôn de todos ustedes, muy bien!!!.
Bueno, les cuento que estuve mirando el log de un sofware ANTI-SPAM (el que recibe todos los correos de internet) y este mismo està contanstemente enviado solicitudes de update hacia los servidores de la misma empresa desarrolladora del software.
Para solucionar temporalemnte esto, desactivamos el servicio que este software utiliza.
Ahora, le enviamos este error al proveedor de este software a ver si tiene un parche o algo para solucionar el problema.
Datos del software:
Software Anti-Spam: (Norman Email Protection)
Sofware Anti-virus: (Norman Anti-virus)
Les estaré informando como termina esto.
Cordial saludo.
Si claro, para descubir eso utilicé el WireShark.
Gracias,
Hola,
El proveedor del software nos recomendô hacer una actualizaciôn el software, debido a que este es un problema conocido ya por ellos.
Vamos a planificar hacer esa actualizaciôn y les comentarè como nos va con esto.
Saludos.

5 Respuestas

+3 votos
 
Mejor respuesta

Hola,

Probastes analizar el trafico mas detalladamente para saber que FQDN te resuelven las IP que esta sirviendo ?, digo puede que detectes Adobe.com, Akamai.com, etc, alguna de esas o que sea de algun actualizador. Empieza por ese lado, de todas maneras te recomiendo abajo alguno de los software que me han dado resultados.

Haz un SFC /Scannow desde linea de comandos para ver si tu server tiene todos los archivos originales de windows intactos.

Luego te recomiendo que uses la utilidad de Sysinternals, Process Explorer y Process Monitor, TCPView

Aqui hay una guia para que vayas por pasos y resolver este problema con las herramientas de Sysinternals: (Tiene 3 Partes)

http://www.windowsecurity.com/articles-tutorials/viruses_trojans_malware/Hunt-Down-Kill-Malware-Sysinternals-Tools-Part1.html

Tambian hay dando vueltas un video de TechNet que lo puedes encontrar aqui:

Otra guia:

http://www.techrepublic.com/blog/10things/10-sysinternals-tools-you-shouldnt-be-without/2033

Software a probar:

1) COMBOFix (Poderosisimo, usarlo con precaucion, pero te limpia TODO)

1) EMCO Network Malware Cleaner (Chequeo remoto agentless creo)

2) Avira Antivirus Premium (Para mi el mejor antivirus hasta ahora)

3) Malwarebytes Anti-Malware (Lento pero seguro)

4) Syper AntiSpyware

Exitos !!!

por (4.6k puntos)  
seleccionada por
+1 voto

Buenas tardes djcmtk,

Que antivirus has usado ya?

Antivirus que yo considero buenos, McAfee Security Center, NOD32 y hasta el mismo Microsoft Security Essential me ha servido, hay mucho antivirus pero son los que yo he usado y siempre me han servido de mucho, Norton Antivirus para mi fue el peor antivitus que he utulizado en mi vida, fue mi caso no se los demas, adicionalmente puedes escanear tu servidor con Spybot Search & Destroy, tambien puedes usar ElistarA  esta utilidad una vez me sirvio de mucho, detecto Virus, Malware y Spyware que ningun antivirus detecto :) y asunto arreglado en esa ocasion.

Espero que te sea de ayuda.

 

Saludos

por (1.5k puntos)  
+1 voto
Revisa si estan trabajando con alguna aplicacion que este consumiendo ancho de banda, verifica en los log de registros o trazas que esta produciendo el atochamiento.
por (558 puntos)  
0 votos
Hola,
Muchas gracias por todas su respuestas, estoy muy sorprendido con la colaboraciôn de todos ustedes, muy bien!!!.
Bueno, les cuento que estuve mirando el log de un sofware ANTI-SPAM (el que recibe todos los correos de internet) y este mismo està contanstemente enviado solicitudes de update hacia los servidores de la misma empresa desarrolladora del software.
Para solucionar temporalemnte esto, desactivamos el servicio que este software utiliza.
Ahora, le enviamos este error al proveedor de este software a ver si tiene un parche o algo para solucionar el problema.
Datos del software:
Software Anti-Spam: (Norman Email Protection)
Sofware Anti-virus: (Norman Anti-virus)
Les estaré informando como termina esto.
Cordial saludo.

 

Pd: Durante mi busqueda usé el Malware-Byte, lento pero seguro...jejeje.
por (926 puntos)  
0 votos
Hola:

Yo como antivirus para servidores y para clientes uso la solución de gfi. Es un antivirus que sirve para servidor y clientes, tienes tu panel de gestion para ver el estado de todos tus servidores y te informa de si estan actualizados, analisis que realiza etc... tambien tiene multitud de herramientas para monitoreo de servidores y esta asociado con teamviewer y te da opcion de coger el control remoto del servidor con un click.

También te saca multitud de informes etc...
por (8 puntos)  
Gracias, voy a mirar esta opciôn.
una pregunta, las pantallas esas que pones a que programa corresponden? estoy buscando algo para monitorizar la red y esos pantallazos que pones parecen muy claros y me han gustado. Corresponden al Wire shark??
gracias
Hola Sergio,
El programa se llama CACTI monitor, y lo usamos para monitoreo de todos los equipos de red con SNMP disponible, o sea Routers, Firewalls, Switches, NAS, Servers Vmware, Server Windows, etc.
Lo puedes encontrar aqui http://www.cacti.net/.
Saludos.
...