Jump to content

Recommended Posts

Hola buenos días a todos

Desde hace unos días en varios clientes no paro de recibir las siguientes notificaciones de ataque. El antivirus las bloquea claro esta y por si acaso estoy con las copias al día y seguras. Pero me tendría que preocupar? Que manera hay de bloquear estas ip para que no aparezcan mas notificaciones?

Un saludo y gracias

kaspersky.png

Share this post


Link to post

Hola,

Sube la información necesaria para que podamos ayudarte (Versión y build de Kaspersky instalado, S.O. y servicepack instalados, sube tu getsysteminfo (gsi) utilizando la ultima versión disponible del mismo, debes enviar la dirección URL de la Web que se genera con el informe, para revisarlo, etc...).

Para generar el getsysteminfo (gsi) revisa este enlace: http://support.kaspersky.com/sp/general/dumps/3632#block1
Getsysteminfo (GSI) descarga directa: http://media.kaspersky.com/utilities/ConsumerUtilities/GetSystemInfo6.2.zip

Además de adjuntar el fichero gsi, es recomendable enviar el enlace-dirección URL de la Web que se genera con el informe, para facilitar la labor.

Hay que dar más información para que podamos intentar ayudarte.

Revisa:

https://www.redeszone.net/2017/09/25/proteccion-fuerza-bruta-rdp/

https://www.cert.gov.py/index.php/noticias/distribucion-de-ransomware-mediante-ataques-de-fuerza-bruta-rdp

Saludos

Share this post


Link to post
Posted (edited)

Versión y build de Kaspersky instalado: Kaspersky Small Office 6

 S.O: Window Server  2008 R2 Foundation

 servicepack instalados: Service Pack 1

 sube tu getsysteminfo (gsi): GSI6_Administrador_03_21_2019_11_38_31.zip

Supongo que la url esta dentro del informe

Edited by David_csi

Share this post


Link to post

Hola,

Muevo tu consulta al foro de productos domésticos ya que el KSOS no es un producto corporativo.

Sube el gsi a un servidor de ficheros ejemplo: http://mega.co.nzhttp://uploaded.net/ y una vez que hayas subido el fichero escribes el enlace de descarga que te dará el servidor de ficheros en el hilo, ya que el foro tiene limitado el tamaño de lo que se puede subir, y por eso da error tu enlace.

Sube un nuevo gsi a un servidor de ficheros, ya que dentro del fichero que has subido falta el archivo principal del gsi con lo que no sirve.

Saludos

Share this post


Link to post
hace 7 minutos, Caos dijo:

Hola,

Muevo tu consulta al foro de productos domésticos ya que el KSOS no es un producto corporativo.

Sube el gsi a un servidor de ficheros ejemplo: http://mega.co.nzhttp://uploaded.net/ y una vez que hayas subido el fichero escribes el enlace de descarga que te dará el servidor de ficheros en el hilo, ya que el foro tiene limitado el tamaño de lo que se puede subir, y por eso da error tu enlace.

Saludos

https://mega.nz/#!byZ1zKIa

 

aqui lo tienes

Share this post


Link to post

Hola,

Es necesaria la clave de cifrado para poder descargar el fichero, o pegar el enlace que te da ya con la clave incluida.

Saludos

Share this post


Link to post
hace 18 minutos, Caos dijo:

Hola,

Es necesaria la clave de cifrado para poder descargar el fichero, o pegar el enlace que te da ya con la clave incluida.

Saludos

Madre mia estoy empanado

 

gSl-FNOHaRnjaGvVlkes2qPcmaCagv8no3vqnHJKsj8

Share this post


Link to post

Hola,

Revisa el registro de eventos de windows te aparecen errores no relacionados con Kaspersky.

¿Es el servidor el que te registra los ataques rdp?

Saludos

Share this post


Link to post
hace 2 minutos, Caos dijo:

Hola,

Revisa el registro de eventos de windows te aparecen errores no relacionados con Kaspersky.

¿Es el servidor el que te registra los ataques rdp?

Saludos

Si, es el servidor. Lo de los errores tienen que ver mas que nada con la impresora

Share this post


Link to post

Los que yo he visto son:

El nivel de seguridad de Terminal Server detectó un error en la secuencia de protocolos y desconectó el cliente. IP del cliente: 5.188.86.102.

El nivel de seguridad de Terminal Server detectó un error en la secuencia de protocolos y desconectó el cliente. IP del cliente: 5.188.86.106.

El nivel de seguridad de Terminal Server detectó un error en la secuencia de protocolos y desconectó el cliente. IP del cliente: 45.227.253.74.  (Este aparece varias veces).

El nivel de seguridad de Terminal Server detectó un error en la secuencia de protocolos y desconectó el cliente. IP del cliente: 45.227.253.28.

Se generó la siguiente alerta irrecuperable: 10. El estado del error interno es 1203.

No se pudo iniciar la operación de copia de seguridad intentada a las '‎2019‎-‎03‎-‎21T00:30:08.007182300Z', con el código de error '2155348061' (Copias de seguridad de Windows no encuentra ninguna de las ubicaciones de almacenamiento de copia de seguridad.). Revise los detalles del evento para encontrar una solución y vuelva a ejecutar la operación de copia de seguridad una vez resuelto el problema.

HP Ethernet 1Gb 2-port 330i Adapter #2: The network link is down. Check to make sure the network cable is properly connected.

Etc..

Revisa también que este realizando bien las copias de seguridad.

Saludos

Share this post


Link to post

Hola,

Esta claro que algo o alguien está tratando de acceder remotamente al servidor vía escritorio remoto mediante fuerza bruta, mi recomendación sino usas dicho servicio RDP es que lo deshabilites por seguridad.

Si lo usas, cambia la contraseña, aumenta su complejidad y su longitud, y cambia el puerto que usa.

Revisa que tengas instaladas todas las actualizaciones de Windows, que no tengas ninguna pendiente de instalar, y actualiza a la ultima versión del Winrar (la que tienes es vulnerable).

¿Todos los equipos de la red están protegidos? ¿tienen instalado el KSOS?

Adicionalmente para un servidor de trabajo te recomendaría mejor una solución corporativa, que una solución doméstica.

Y sería muy interesante si el presupuesto lo permite instalar un firewall perimetral.

Saludos

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.