Seguridad Escaneo de puertos red

Hola Amigos de Comunidad Hosting

Este email es para tratar un tema con ustedes a ver si me pueden ayudar, un amigo mio me pidio ayuda debido a que en su red de su empresa su proveedor de hosting le esta bloqueando los accesos a sus correos consultando con el proveedor nos comenta que el bloqueo esta siendo debido a un escaneo de puertos a su red curiosamente nos manda los datos del bloqueo:

Jun 12 12:21:43 host kernel: Firewall: *TCP_IN Blocked* IN=eth0 OUT= MAC=00:16:3e:e1:6e:5f:00:15:2c:43:b8:00:08:00 SRC=189.203.2**.*** DST=50.28.30.17 LEN=52 TOS=0x00 PREC=0x00 TTL=108 ID=18969 DF PROTO=TCP SPT=38409 DPT=45 WINDOW=8192 RES=0x00 SYN URGP=0

Curiosamente el dia de hoy estuvimos conectando maquina por maquina para ver cual era el equipo del bloqueo al final llegamos a un equipo y se bloqueo la red, pensamos que era esa maquina la desconectamos de la red, pedimos que se desbloquee pero aun asi se sigue bloqueando que podria ser?.

Curiosamente colocamos un router de la marca linksys y con dicho router no pasa eso pero si se alenta mucho la red, colocamos el nuevo router marca tp-link y con ese la red se acelera pero se hace el bloqueo de la ip.

Saludos.

 

Jun 12 12:21:43 host kernel: Firewall: *TCP_IN Blocked* IN=eth0 OUT= MAC=00:16:3e:e1:6e:5f:00:15:2c:43:b8:00:08:00 SRC=189.203.2**.*** DST=50.28.30.17 LEN=52 TOS=0x00 PREC=0x00 TTL=108 ID=18969 DF PROTO=TCP SPT=38409 DPT=45 WINDOW=8192 RES=0x00 SYN URGP=0

SRC == IP procedente de ataque
DST == IP del servidor a la que se está lanzando el ataque (que casi debiste protegerla mejor al publicar jeje)
PROTO == Protocolo por el que se realiza la petición, en este caso o bien TCP o bien UDP, y ya vemos que es por TCP.
SPT == Puerto por el que se realiza la petición por parte del "atacante"
DPT == Puerto del servidor al que se ha realizado la petición. El puerto 45 la verdad que no es un puerto demasiado común para los servicios en entorno webhosting. No sé si habrá algún script que use dicho puerto por defecto.

Saludos

 

Hola

No curiosamente nomas utilizan outlook, pero bueno ahorita intentare bloqueando el puerto 45 desde el firewall del router para ver si asi se soluciona todo.

Gracias.

 

El puerto en cuestión no tiene por qué estar abierto. Que se lance la petición y se bloquee puede ser bien por estar abierto o por no estarlo, al final un ataque no siempre se realiza a puertos abiertos (que es lo normal, pero el atacante igual piensa que está abierto y no estarlo, y mil cosas más).

El bloqueo yo creo que te lo encontrarás igual. Si la IP de origen es de tu red, revisa todo software que haga conexión, así como que el equipo no esté infectado y sea un zombie en manos de alguien malintencionado sin que lo sepas.

Saludos.

 

PC infectado/troyanizado?

 

Si aqui el relajo es que se revisaron todos los equipos jeje y no se ah identificado, sino no va quedar de otra que reinstalar windows en todos los equipos.

 

¿Usáis la misma IP pública en todos los equipos?

 

Para ver si tu equipo pertenece a una botnet Inicio - cmd (ejecutar como administrador) y tipea netstat -an mira conexiónes raras. Puedes hacerlo con domaintools.com En GNU/Linux puedes desactivar el scaneo de puertos (para que no te hagan scans) en Windows me imagino que también será posible aunque yo solo se hacerlo en linux.

 

Antes de reinstalar todos los windows, yo colocaría un gateway transparente y capturaría todo el tráfico con tcpdump o similares, con esa información sabrás exactamente que PC hace la conexión, si la red lo permite esto puedes hacerlo haciendo un port mirroring al puerto de internet, ninguna de las direcciones MAC listadas coinciden con la de alguno de los equipos?

 

Hola,

Pues será raro que me acaba de pasar lo mismo. Al intentarme conectar a mi hosting me bloqueaba el firewall y mi proveedor me paso el log. Haber si van a ser scans indiscriminados. He mirado con antivirus y malwarebytes y nada todo limpio ningún virus ni troyano ni nada de nada. netstat -an y nada. Red SIFI SSID oculta y WPA2. Desde donde se hacía el scan era desde eth0.

 

En mi caso las únicas veces que he caído en firewall ha sido justificado tanto en puerto como en razones... Escribir a toda mecha ciertas contraseñas no es bueno xD

 

Hola @justice13

La contraseña era hexa de 63 caracteres WPA2 no creo que haya sido a toda mecha y es más que aceptable. Lo que he revisado con panda y antimalwarebytes y no encuentro nada raro yo tampoco. Igual he reiniciado el router para que se cambie la ip. Tengo todo parcheado y actualizado s.0, programas etc.

 

Yo conozco un caso que le suele ocurrir cuando abre Outlook. Le detecta scan de no recuerdo qué puerto pero que no es el que tiene configurado para correo... Yo no creo que el log salga de la nada, algo tiene que haber.

 

Hola Guillermo,

Me acaba de pasar algo parecido a lo tuyo pero en mi caso por puerto UDP. Yo he pasado panda y malwarebytes y no he encontrado nada sospechoso. Lo que he hecho yo ha sido reiniciar el router al tenr ip dinámica igual telefónica me ha pasado una que estarían escaneando. Si tienes todo parcheado y actualizado a full es que es raro de cojones...

 

Hola,

Por si te sirve guillermo yo he acabado por formatear el equipo windows que había en mi casa. En ese caso el equipo estaba sin el windows update activado ya que si que es verdad que estaba abandonadillo al no ser mio y desde la compra no lo active por vagancia.

Y ahora lo dejare a full actualizado. He realizado un backup, he copiado los id de los software original y ahora en breves me toca llamar a microsoft iberica para reactivar serial. Mira que el panda y el malwarebytes no me detectaron nada.

Windows sucks enserio! lo mio es UNIX enserio.

 

Hola,

A quien le pase algo parecido la próxima vez para windows hay un programa que se llama CloseTheDoor https://sites.google.com/site/weyecoh/homepage/closethedoor/ para ver las conexiónes de red tanto TCP como UDP. Es menos engorroso que tirar de netstat así con el log del servidor puedes saber que está pasando.

A mí me salian de un equipo por el 50107 udp. Al final acabe por farmatear y no me puse a analizar.

 

Lo correcto hubiera sido esnifar el tráfico p.ej. desde un puerto espejo (mirrored) en el mismo switch (o metiendo un hub en medio en plan crutreTAP casero). Esnifar el tráfico desde el propio equipo no tiene mucho sentido sobre todo cuando se sospecha que es el propio equipo el que puede estar comprometido.

Es un bonito proyecto sobre todo si estás estudiando / experimentando: montar un sniffer en tu red, infectar un equipo y analizar qué pasa.