Solo usuarios registrados pueden comentar y agradecer, Logueate o Registrate

Autor Topic: vulnerabilidades con Windows 2008 server R2  (Visto 218 veces)

0 Miembros and 1 Guest are viewing this topic.

Offline Abraham90 on: April 30, 2019, 01:32:23 AM

  • 0 puntos por ventas
  • *
  • Rank: Principiante
  • Posts: 22
  • Gracias recibida: 1
  • ve
Buenas, tengo unos files de mu y mi servidor estable durante meses, debido a varias caidas con server 2012 me pase a 2008 server r2, antes usaba dicho sistema pero actualice debido a un virus, decido otra vez volver viendo si puedo solucionar ese problema, el cual consiste en

que luego de un tiempo online , se abre unas reglas en firewell tcp all, que abre todos los tcp, cambia el dns de la conexion de red evitando navegar, y agrega a menu inicio un proceso.... al principio pensaba que eran los files namech s2 pero luego probe sin instalar nada al vps y dejandolo prendido y sigue pasando....

hay posibilidad que esto suceda por la empresa o nodo donde esta el vps? o conocen de alguna vulnerabilidad que tenga windows 2008 server r2 que haga esos cambios?

los procesos que crean son
rundll32.exe de la carpeta C:\Windows\SysWOW64
cmd.exe de la carpeta C:\Windows\SysWOW64
msoffice de la carpeta C:\Windows\system   (sin el 32)
entre otros, logro eliminarlos del registro, corrijo DNS, deshabilito todas las reglas excepto los del mu (44405,55901,55919) y los de escritorio remoto. y aun asi otra vez vuelven estos procesos

esto me afecta al servidor ya que los gameserver  se cierran de forma inesperada....

que me recomiendan?

Offline CAPITOL #1 on: April 30, 2019, 01:44:13 PM

  • 0 puntos por ventas
  • *
  • Rank: Liga mayor
  • Posts: 191
  • Gracias recibida: 198
  • ph
You need to immediately disable SMBv1 and SMBv2, they're pre-enabled on the 2008 ISO if that's what you're using. If you don't immediately disable it, there are scanners that will immediately hack your server using EternalBlue (the exploit that faces SMBv1/SMBv2).

You need to use command below in PowerShell after you first login.

Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters" SMB1 -Type DWORD -Value 0 –Force
Set-ItemProperty -Path "HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters" SMB2 -Type DWORD -Value 0 –Force

Offline Thor Host #2 on: April 30, 2019, 11:29:15 PM

  • 0 puntos por ventas
  • *
  • Rank: Puto amo
  • Posts: 214
  • Gracias recibida: 178
  • pe
lo que comentas no parece que tenga relación con el sql en si. lo que parece que tienes es un virus, es común que se cuelen virus en los vps a veces.
lo mejor que puedes es instalar un antivirus a tu vps porque parece que no tienes, yo te recomiendo el nod32 y analizar todo el disco con este, tomara su rato pero te eliminara todos los virus.

Gracias:


Solo usuarios registrados pueden comentar y agradecer, Logueate o Registrate

 

Related Topics

  Subject / Started by Replies Last post
6 Replies
1196 Views
Last post July 02, 2018, 02:20:14 PM
by -RASTAA👽
1 Replies
450 Views
Last post June 24, 2018, 03:15:41 PM
by ZabiinoOo
0 Replies
182 Views
Last post December 02, 2018, 11:04:50 AM
by CorsarioDgx
3 Replies
307 Views
Last post March 13, 2019, 08:10:03 PM
by -RASTAA👽
1 Replies
24 Views
Last post November 28, 2019, 01:57:53 PM
by GameShield