OVH Community, your new community space.

Servidor windows 2008R2 haceado¿?¿?


llr
28/12/2013, 21:32
Comprueba las tareas programadas, incluso las ocultas. Busca scripts de comandos (vbs, cmd, bat, kix,...) que no sean tuyos. Revisa qué se ejecuta al iniciar (menú inicio, ramas en el registro, directorio "Downloaded" en Windows,...)
Es fácil generar un script de creación de usuario y que se ejecute dentro de varios días, cuando bajes la guardia.

Si se me ocurre algo más ya te lo comentaré

oscartecnia
28/12/2013, 10:53
Pues eso, que tengo un servidor Windows 2008 R2, con plesk.
A las 03:00h estando de fiesta (extraordinariamente) me llega el aviso al móvil de que mi usuario ha hecho logout.
Tengo instalado el PCMonitor y me avisa cuando alguien se loguea entre otras cosas.
Rapidissimamente cambio el password de mi usuraio y de los usuarios administradores.

Al llegar a casa me pongo a ver la "gestión de daños" y no encuentro nada. En el registro de sucesos efectivamente hay 2 accesos con login y logout tanto del logmein en aplicaciones y en seguridad también están esos accesos como tipo 10 por RDP.
El tiempo que han estado dentro la promera vez han sido segundos, y la segunda unos 4 minutos.
Al conectarme con el usuario administrador, el filezilla server (en otro puerto para no interferir con el ftp de plesk) daba error constantemente porque quería conectarse a algún sitio pero no podía.
Que he hecho:
- Desinstalar el filezilla server
- Cambiar los paswords de todas las cuentas que tienen permisos de administrador
- Revisar todas las cuentas de usuarios, para ver si había alguna no conocida
- Revisar el registro de Windows en busca de instalaciones, cambios etc
- Revisar en programas por si había algo nuevo
- Revisar a mano los directorios del servidor en busca de carpetas o archivos no conocidos
- Revisar el las reglas del firewall

En principio no he encontrado nada, a excepción del filezilla server que salía constantemente un error de conexión, que ni he mirado porque lo he parado y desinstalado al isntante.

No se que mas mirar, y ya no se si me he "emparanollado", pero ningún proceso de Windows registra un loguin tipo RDP, no?

Se os ocurre que mas puedo mirar?

P.D.: en la revisión esta mañana esta todo bien, ni envio spam, ni veo procesos ni rendimiento anormal etc..