ATAQUES ciberneticos

Dark168 · 13-Nov-2020, 11:32

Duda, tengo un problema en los ultimos 4 meses hemos tenido un inconveniente y es que nos ha atacado nuestras base de datos llegandola a ecryptar, por suerte hemos tenido backups que hacemos diarios, pero quiero evitar esto, se muy poco de todo esto pero me han comentado al respecto sobre cambiar el puerto (quitar el defaut) y tambien ocultar nuestra ip publica cosa que no se hacer.

Si alguien tiene conociemiento al respecto agradeceria mas recomendaciones.

EL ANTIVIRUS tenemos el NOD para server file y que asco no hizo ni reacciono de ninguna manera

villeda · 13-Nov-2020, 11:39

Algún ramsonware se les coló.
Cómo estás de actualizaciones de sistema operativo?
El antivirus está actualizado a su versión más reciente y con licencia de pago?
Revisa los demas equipos de la red local, hay un ramsonware que ataca desde la red local a los otros equipos.

DGrayGT · 13-Nov-2020, 12:04

en ese caso tenes que verificar todo,

-si la aplicación de la bd tiene alguna vulnerabilidad y si está actualizado
-que sistema tenes en tu servidor y actualizarlo
-cambiar claves de acceso porque si dejas las mismas puede ser que ya estén vulneradas tanto del server como de las bd y los usuarios
-ubicación de tu servidor, si es en la nube u on-premise(en el sitio) y configuración si está en una dmz o en tu misma red, esto te va a servir para determinar de donde viene el ataque
-implementar firewall si podes para tener mejor control de las conexiones al server.
-verificar los equipos que se conectan, que no estén infectados y que estén actualizados

el tema de ciber seguridad es bien complejo y si ya les paso varias veces quiere decir que la vulnerabilidad no se ha parchado por lo que tenes que revisar muy bien como se está generando el ataque.

Legem Sec · 13-Nov-2020, 12:13

Que mal de verdad que el NOD 32 no haya hecho nada, se supone que un buen antivirus es la mejor linea de defensa contra estos ataques.

Tal vez podrías ver la opción de adquirir una cuenta premium de un mejor antivirus. Tengo entendido que el kaspersky es muy bueno, pero solo es bueno si tenes una licencia completa.

Dark168 · 13-Nov-2020, 12:21

Gracias por las recomendaciones se muy poco de servidores, de base de datos, de firewall, etc etc pero pues apoyo en el aspecto en lo basico.

Con respecto a lo que me me mencionan.

1) En el servidor tengo windows server 2016, ACTUALIZADO
2) El servidor tiene ESET file security for server ACTUALIZADO y LICENCIA COMPRADA.
3) Los equipos en la red todos tienen ESET internet security ACTUALIZADO y TAMBIEN CON LICENCIA COMPRADAS.
4) Los equipos que se conectan por la IP publica para trabajar desde las casas eso si no me he percatado, debere ponerle atencion a eso.

DGrayGT, la clave de acceso si la he cambiado hoy que fue el ultimo ataque, el servidor esta en sitio fisico atraves de una red local.
Puedes explicarme lo del firewall. Gracias.

GamesDown · 13-Nov-2020, 12:24

Qué base de datos utilizas? Servidor? dedicado? en la nube o local?

Deberías cambiar los puertos predeterminados y cambiar las contraseñas de todos los usuarios.

La mejor capa de protección es un Firewall bien configurado.

El antivirus solo te protege de cosas básicas pero hay muchas más cosas que tenés que tener en cuenta además de los virus.

Dark168 · 13-Nov-2020, 12:55

GamesDown, La base de datos MySQL esta local. el puerto ya lo cambie y las contraseñas si debere cambiarla a todos.

Eso del firewall es algo que me llama mucho la atencion pero se poco o nada al respecto :c

jonasmas · 13-Nov-2020, 13:28

Cita:

Iniciado por Dark168

GamesDown, La base de datos MySQL esta local. el puerto ya lo cambie y las contraseñas si debere cambiarla a todos.

Eso del firewall es algo que me llama mucho la atencion pero se poco o nada al respecto :c

cabal, te cayo un tu ramsonware por eso te encripto, antes que todo antivirus y un firewall, podes tener firewall a nivel hardware o software (con linux p.e.) .. te recomiendo ESET o Karpersky .. si es un tema complejo armar una arquitectura de seguridad, depende de todo tu activo informatico..

GamesDown · 13-Nov-2020, 13:33

Podrías revisar los logs para ver si no es incluso alguno de los que se conectan legalmente a la bd el que te está chingando.

También podrías pedirles su IP y darle permiso a cada usuario solo a través de esa IP, aunque creo que sería un poco complicado ya que la mayoría utilizamos IP dinámica.

El firewall puede ser físico o virtual. El físico es más robusto pero es caro y requiere de un profesional que te lo configure.

El virtual, verificá que esté bien configurado del que ya trae Windows Server (o incluso revisá que esté activo), sino podés desactivar ese y buscar alguna otra opción de pago. Es más fácil de configurar que el físico.

DGrayGT · 13-Nov-2020, 21:25

Me imagino que usas Escritorio remoto para conectarte hacia el server? si es así te comento que es bien critico dejar servicios publicados así ya que la ip publica incluso con un snifer de red podes escanear los rangos y ver que puertos están abiertos. Verificá si podes poner la conexion por medio de VPN ya que es mas seguro

Para el firewall solo verificá que esté habilitado el de windows y creo que el antivirus tambien tiene uno. recuerdo que ese tiene una opcion de ponerlo a bloquear todo o a modo aprendizaje y ahí te dice todas las conexiones que se establecen y el nombre de equipos. "he visto la version de ESET internet Security" así es como viene ese revisá si el que tenés tiene esa opcion e ir indagando ahí por donde es que se están conectando

otra cosa que tenes que ver es los equipos que se estan conectando a tu red. Son equipos que vos les diste configurados con tus políticas de seguridad? o son equipos de cada usuario o sea de casa, porque si es así hay que asegurarlos para minimizar riesgos, instalar antivirus o mitigar las vulnerabilidades que tengan en S.O.

Que usas para conectarte a internet? tenes algún dispositivo de firewall como Fortinet o Microtik? ahí también podes ver algunas cosas para asegurar tus conexiones.

eseMero · 13-Nov-2020, 23:09

En primer lugar, si vas a tener la DB publicada, no uses windows, cambia a linux.

Segundo, controla a los usuarios que se conectan, que exista sólo un administrador o que por lo menos nadie tenga acceso directo al equipo.

Tercero, cambia los puertos por defecto, ese es error de principiante.

Cuarto, si vas a tener publicada la DB ponle un equipo FW delante.

Quinto, como es muy probable que tengas un usuario que se esté pasando de cabrón, intenta descubrir quién se la lleva de pilas en sistemas o que tenga algún resentimiento y tendele una trampa.

Sexto, si no podes cambiar SO (que encarecidamente te lo recomiendo) actívale el log de acceso.

Séptimo, en el mismo FW de windows, activa bloqueo de IP que pueden acceder y mantenlo por segmento. Controla los segmentos de red que hay y quienes pueden y no pueden usar la DB, así irás descartando de dónde viene el ataque.

Octavo (Salú!), no creo que sea un virus, si no estuvieras hablando de que todo tu SO se fue a la shit, por lo que me repito: tenés a alguien que se está pasando de cabrón.

Noveno, si no podes bloquear por segmento, debes controlar cómo es que los usuarios llegan a la DB, no es recomendable que desde las terminales lleguen directo, por lo que debes poner un equipo que consuma la DB y sirva los resultados hacia los usuarios.

Espero te sirva.

Saludos.

CEMorales · 06-Dec-2020, 20:07

Uno de los mejores cortafuegos (firewall)

https://www.fortinet.com/lat

Llamar a EECSA y preguntar por PEscobar para cotizar un FG60

3ra Avenida 10-90 zona 9
PBX 502-23799000
[email protected]

USD 1,200:
- Equipo
- Actualizaciones durante 12 meses
- Configuración inicial
- Soporte local

13-Nov-2020, 11:32	#1
Dark168 Frieden und Hass Fecha de Ingreso: 30-September-2011 Mensajes: 5.552 Feedback Score: 42 reviews	ATAQUES ciberneticos Duda, tengo un problema en los ultimos 4 meses hemos tenido un inconveniente y es que nos ha atacado nuestras base de datos llegandola a ecryptar, por suerte hemos tenido backups que hacemos diarios, pero quiero evitar esto, se muy poco de todo esto pero me han comentado al respecto sobre cambiar el puerto (quitar el defaut) y tambien ocultar nuestra ip publica cosa que no se hacer. Si alguien tiene conociemiento al respecto agradeceria mas recomendaciones. EL ANTIVIRUS tenemos el NOD para server file y que asco no hizo ni reacciono de ninguna manera __________________ ------------------

13-Nov-2020, 11:39	#2
villeda Velmax User Fecha de Ingreso: 23-March-2010 Mensajes: 2.115 Feedback Score: 27 reviews	Respuesta: ATAQUES ciberneticos Algún ramsonware se les coló. Cómo estás de actualizaciones de sistema operativo? El antivirus está actualizado a su versión más reciente y con licencia de pago? Revisa los demas equipos de la red local, hay un ramsonware que ataca desde la red local a los otros equipos.

13-Nov-2020, 12:04	#3
DGrayGT Senior Member Fecha de Ingreso: 30-January-2014 Mitsubishi Mirage Mensajes: 2.360 Feedback Score: 59 reviews	Respuesta: ATAQUES ciberneticos en ese caso tenes que verificar todo, -si la aplicación de la bd tiene alguna vulnerabilidad y si está actualizado -que sistema tenes en tu servidor y actualizarlo -cambiar claves de acceso porque si dejas las mismas puede ser que ya estén vulneradas tanto del server como de las bd y los usuarios -ubicación de tu servidor, si es en la nube u on-premise(en el sitio) y configuración si está en una dmz o en tu misma red, esto te va a servir para determinar de donde viene el ataque -implementar firewall si podes para tener mejor control de las conexiones al server. -verificar los equipos que se conectan, que no estén infectados y que estén actualizados el tema de ciber seguridad es bien complejo y si ya les paso varias veces quiere decir que la vulnerabilidad no se ha parchado por lo que tenes que revisar muy bien como se está generando el ataque.

13-Nov-2020, 12:13	#4
Legem Sec Senior Member Fecha de Ingreso: 02-August-2019 Mensajes: 1.227 Feedback Score: 1 reviews	Respuesta: ATAQUES ciberneticos Que mal de verdad que el NOD 32 no haya hecho nada, se supone que un buen antivirus es la mejor linea de defensa contra estos ataques. Tal vez podrías ver la opción de adquirir una cuenta premium de un mejor antivirus. Tengo entendido que el kaspersky es muy bueno, pero solo es bueno si tenes una licencia completa.

13-Nov-2020, 12:21	#5
Dark168 Frieden und Hass Fecha de Ingreso: 30-September-2011 Mensajes: 5.552 Feedback Score: 42 reviews	Respuesta: ATAQUES ciberneticos Gracias por las recomendaciones se muy poco de servidores, de base de datos, de firewall, etc etc pero pues apoyo en el aspecto en lo basico. Con respecto a lo que me me mencionan. 1) En el servidor tengo windows server 2016, ACTUALIZADO 2) El servidor tiene ESET file security for server ACTUALIZADO y LICENCIA COMPRADA. 3) Los equipos en la red todos tienen ESET internet security ACTUALIZADO y TAMBIEN CON LICENCIA COMPRADAS. 4) Los equipos que se conectan por la IP publica para trabajar desde las casas eso si no me he percatado, debere ponerle atencion a eso. DGrayGT, la clave de acceso si la he cambiado hoy que fue el ultimo ataque, el servidor esta en sitio fisico atraves de una red local. Puedes explicarme lo del firewall. Gracias.

13-Nov-2020, 12:24	#6
GamesDown Senior Member Fecha de Ingreso: 12-September-2011 Nissan Rogue 2013 Mensajes: 203 Feedback Score: 14 reviews	Respuesta: ATAQUES ciberneticos Qué base de datos utilizas? Servidor? dedicado? en la nube o local? Deberías cambiar los puertos predeterminados y cambiar las contraseñas de todos los usuarios. La mejor capa de protección es un Firewall bien configurado. El antivirus solo te protege de cosas básicas pero hay muchas más cosas que tenés que tener en cuenta además de los virus.

13-Nov-2020, 12:55	#7
Dark168 Frieden und Hass Fecha de Ingreso: 30-September-2011 Mensajes: 5.552 Feedback Score: 42 reviews	Respuesta: ATAQUES ciberneticos GamesDown, La base de datos MySQL esta local. el puerto ya lo cambie y las contraseñas si debere cambiarla a todos. Eso del firewall es algo que me llama mucho la atencion pero se poco o nada al respecto :c

13-Nov-2020, 13:33	#9
GamesDown Senior Member Fecha de Ingreso: 12-September-2011 Nissan Rogue 2013 Mensajes: 203 Feedback Score: 14 reviews	Respuesta: ATAQUES ciberneticos Podrías revisar los logs para ver si no es incluso alguno de los que se conectan legalmente a la bd el que te está chingando. También podrías pedirles su IP y darle permiso a cada usuario solo a través de esa IP, aunque creo que sería un poco complicado ya que la mayoría utilizamos IP dinámica. El firewall puede ser físico o virtual. El físico es más robusto pero es caro y requiere de un profesional que te lo configure. El virtual, verificá que esté bien configurado del que ya trae Windows Server (o incluso revisá que esté activo), sino podés desactivar ese y buscar alguna otra opción de pago. Es más fácil de configurar que el físico.

13-Nov-2020, 21:25	#10
DGrayGT Senior Member Fecha de Ingreso: 30-January-2014 Mitsubishi Mirage Mensajes: 2.360 Feedback Score: 59 reviews	Respuesta: ATAQUES ciberneticos Me imagino que usas Escritorio remoto para conectarte hacia el server? si es así te comento que es bien critico dejar servicios publicados así ya que la ip publica incluso con un snifer de red podes escanear los rangos y ver que puertos están abiertos. Verificá si podes poner la conexion por medio de VPN ya que es mas seguro Para el firewall solo verificá que esté habilitado el de windows y creo que el antivirus tambien tiene uno. recuerdo que ese tiene una opcion de ponerlo a bloquear todo o a modo aprendizaje y ahí te dice todas las conexiones que se establecen y el nombre de equipos. "he visto la version de ESET internet Security" así es como viene ese revisá si el que tenés tiene esa opcion e ir indagando ahí por donde es que se están conectando otra cosa que tenes que ver es los equipos que se estan conectando a tu red. Son equipos que vos les diste configurados con tus políticas de seguridad? o son equipos de cada usuario o sea de casa, porque si es así hay que asegurarlos para minimizar riesgos, instalar antivirus o mitigar las vulnerabilidades que tengan en S.O. Que usas para conectarte a internet? tenes algún dispositivo de firewall como Fortinet o Microtik? ahí también podes ver algunas cosas para asegurar tus conexiones.

13-Nov-2020, 23:09	#11
eseMero ¡Sucederás, lo sé! Fecha de Ingreso: 11-October-2012 Mensajes: 1.474 Feedback Score: 12 reviews	Respuesta: ATAQUES ciberneticos En primer lugar, si vas a tener la DB publicada, no uses windows, cambia a linux. Segundo, controla a los usuarios que se conectan, que exista sólo un administrador o que por lo menos nadie tenga acceso directo al equipo. Tercero, cambia los puertos por defecto, ese es error de principiante. Cuarto, si vas a tener publicada la DB ponle un equipo FW delante. Quinto, como es muy probable que tengas un usuario que se esté pasando de cabrón, intenta descubrir quién se la lleva de pilas en sistemas o que tenga algún resentimiento y tendele una trampa. Sexto, si no podes cambiar SO (que encarecidamente te lo recomiendo) actívale el log de acceso. Séptimo, en el mismo FW de windows, activa bloqueo de IP que pueden acceder y mantenlo por segmento. Controla los segmentos de red que hay y quienes pueden y no pueden usar la DB, así irás descartando de dónde viene el ataque. Octavo (Salú!), no creo que sea un virus, si no estuvieras hablando de que todo tu SO se fue a la shit, por lo que me repito: tenés a alguien que se está pasando de cabrón. Noveno, si no podes bloquear por segmento, debes controlar cómo es que los usuarios llegan a la DB, no es recomendable que desde las terminales lleguen directo, por lo que debes poner un equipo que consuma la DB y sirva los resultados hacia los usuarios. Espero te sirva. Saludos. __________________ " ...y que todo lo escrito en ellos era irrepetible desde siempre y para siempre, porque las estirpes condenadas a cien años de soledad no tendrán una segunda oportunidad sobre la tierra." La gente siempre será más poderosa que el gobierno elegido para presidirla. ¡Siempre!

06-Dec-2020, 20:07	#12
CEMorales BI Specialist Fecha de Ingreso: 02-March-2007 Ubicación: Guatemala Mensajes: 513 Feedback Score: 0 reviews	Re: ATAQUES ciberneticos Uno de los mejores cortafuegos (firewall) https://www.fortinet.com/lat Llamar a EECSA y preguntar por PEscobar para cotizar un FG60 3ra Avenida 10-90 zona 9 PBX 502-23799000 [email protected] USD 1,200: - Equipo - Actualizaciones durante 12 meses - Configuración inicial - Soporte local