Attività non autorizzata sulla porta 3389

2

Se rilevi attività sulla porta 3389 (il mouse inizia a muoversi) Quali sono i primi passi che dovresti prendere da un punto di vista della sicurezza e chi dovrebbe essere informato?

    
posta Chris Webb 10.09.2012 - 21:38
fonte

2 risposte

6

Hai due scelte:

  1. Taglia ed esegui
  2. Scava più in profondità

L'opzione 1 comporta il disinserimento fisico della macchina dalla rete, quindi la tratta come ostile. È stato infettato, quindi non è più il tuo computer. Prendi tutti i file necessari da esso tramite un CD live e pulisci l'unità. Assicurati di eseguire un AV aggiornato sui file che copi, nel caso in cui siano stati infettati da qualcosa. Ciò include in particolare documenti (.doc, .pdf, ecc.), Nonché script ed eseguibili, poiché oggigiorno sono un obiettivo comune.

L'opzione 2 comporta la perdita di dati da parte di potenzialmente e il tempo dell'attaccante di fare cose cattive con il tuo computer / rete. Prendi un mucchio di strumenti ( Wireshark / Process Explorer ) e scopri cosa diavolo sta succedendo.

Alcuni suggerimenti:

  • Memorizza il dump di Wireshark .pcap su un'unità rimovibile per analisi successive.
  • Esegui netstat -an per ottenere un elenco completo di connessioni / ascoltatori TCP attivi.
  • Avvia Process Explorer, salva l'elenco dei processi in un file, quindi cerca in qualcosa di insolito.
  • Esegui un dump della memoria dei processi potenzialmente infetti / dannosi usando ProcDump , con il seguente comando : procdump -mp <pID> Salva i dump in un posto sicuro.
  • Spegni la macchina, caricala in un CD live, quindi analizza manualmente il registro e il file system utilizzando gli strumenti forensi.

Consiglio vivamente l'opzione 1 per la sicurezza, ma la seconda opzione ti fornirà un'idea migliore di chi è l'attaccante e di cosa sta facendo.

    
risposta data 10.09.2012 - 22:00
fonte
4

La prima cosa che dovresti fare è fisicamente disconnettere il computer dalla rete. Potresti pensare semplicemente che "staccare la spina" sarebbe meglio dal punto di vista della sicurezza e avresti ragione. Tuttavia, staccando la spina si perdono preziosi dati forensi. Dovresti quindi informare la persona responsabile per la sicurezza IT del tuo computer. Se quella persona sei tu, allora dovresti iniziare un'indagine forense per scoprire come è successo, perché e come impedire che ciò accada in futuro. Commenta se vuoi saperne di più.

    
risposta data 10.09.2012 - 21:45
fonte

Leggi altre domande sui tag