Virus en la red

Publicado en 'Redes Inalámbricas' por Lakatos, 19 Jun 2010.





  1. Lakatos

    Lakatos Miembro nuevo

    Registro:
    19 Jun 2010
    Mensajes:
    6
    Likes:
    0




    Hola, no se si alguien me podria ayudar para ver como hago si mi red tiene virus o no , de antemano gracias por la ayuda.
     


  2. rvc63

    rvc63 Miembro de bronce

    Registro:
    26 Feb 2010
    Mensajes:
    1,081
    Likes:
    17
    hace tiempo me paso eso .. una maquina en mi Red tenia un fucking virus que hacia miles de conexiones hasta q hacia colpsar la linea ..

    Solución:

    Limitar el numero de conexiones por maquina

    Bueno eso me funcionó a mi.

    Saludos
     
  3. Milo

    Milo Moderador Global

    Registro:
    3 May 2008
    Mensajes:
    4,899
    Likes:
    1,401
    A ver, una red no puede tener virus, si existe virus tiene que estar en alguna maquina, para eso solo tienes que pasar antivirus o en todo caso, si tienes el tipo de virus que menciona rvc63 pues sigue su consejo.
     
  4. fransurf

    fransurf Miembro de bronce

    Registro:
    2 Set 2007
    Mensajes:
    2,106
    Likes:
    190
    Si esos virus que mandan paquetes y saturan los servicios se han puesto de moda. Analiza los equipos de manera exaustiva con un antivirus actualizado y programas adicionales como el spybot que es gratuito.
     
  5. rgunman

    rgunman Miembro maestro

    Registro:
    7 May 2010
    Mensajes:
    481
    Likes:
    61
    una vez me paso un virus que me fregaban todas las pc's que estaban en red las dejaba sin internet solucion fue desconectar todas las pc's a la red y formatear 1 x 1
     
  6. jhonnathan0103

    jhonnathan0103 Miembro de plata

    Registro:
    25 Dic 2009
    Mensajes:
    2,504
    Likes:
    158
    bueno una red no puede tener virus, los q tienen los virus son las PC´s conectadas a la red, prueba con un antivirus, bueno antes de seguir dando posibles soluciones, cuan grande es tu red??? o es pekeña??? cuantos clientes maso???
     
  7. rvc63

    rvc63 Miembro de bronce

    Registro:
    26 Feb 2010
    Mensajes:
    1,081
    Likes:
    17
    No opino igual q mi amigo ... si se puede no ha visto esas redes de pescar todas sucias cuantos miles de virus habran en ellas .. y en lo informático.

    Y según la definición de Red Informática:

    Si los Equipos son parte de una Red y un virus podría estar dentro de un Equipo, y al mismo tiempo el virus se envía por los cables o ondas de la Red .. pues .. Si puede haber un virus en la Red.

    Saludos
     
  8. yohanvil

    yohanvil Miembro de bronce

    Registro:
    18 May 2009
    Mensajes:
    2,299
    Likes:
    57
    Bueno... punto aparte de esto de los virus si estan o no en una PC (que de hecho en alguna terminal si estan) cuando de WISP se trata, lo unico que podemos hacer es asegurar data rates en APs, y filtrar puertos a nivel de servidor, para que la linea WAN no colapse, basicamente dejar abiertos los puertos necesarios.

    saludos
     
  9. tender_rapist

    tender_rapist Miembro frecuente

    Registro:
    22 Oct 2009
    Mensajes:
    240
    Likes:
    5
    Contra la propagacion de virus pues un buen filtrado en el firewall como desactivar el smtp para que no pueda spamear y para su eliminacion estan los antivirus en los clientes, nada mash...
     
  10. HF.INFOCOM.SAC

    HF.INFOCOM.SAC Miembro frecuente

    Registro:
    12 Jun 2010
    Mensajes:
    152
    Likes:
    17
    Virus de Red

    Saludos les contare una anecdota con una base Nuestra y tengalo presente por si algun día les sucede.

    Este es el caso que tuvimos en una base Inalambrica con 30 clientes inalámbricos y 10 computadoras por cable, todas administradas por control de ancho de banda, las wireless con aps clientes y encriptación wep de 128bits, la linea de 4mb al 10%, clientes en simultaneo de hasta 35 por vez, toda la linea funciono de maravilla por el lapso de 1 año, a partir de alli empezo la tortura, un dia x la mañana comienzan las llamadas de los clientes, señor que no tengo internet unos, que esta muy lento un par mas, bueno en ese momento se usaba un router zyxell 650HW, para evitar mayores problemas se procedio a apagar por el lapso de 5 minutos el router y se encendio, no habia ningun problema en el acceso a la internet, se realizo la llamada a los clientes y estos dieron la conformidad del servicio Ok.

    Bueno solo pensando que se habia tratado de un recalentamiento del modem router, se nos olvido el problema hasta que a eso de las 6pm de nuevo empezaron las llamadas por el servicio con fallas, de nuevo se apago por el mismo lapso el equipo y la falla persistia, mas por el contrario se pudo observar que se multiplicaba el problema en los clientes inalámbricos, pensando que la falla se debia a calentamiento del ap un valiente edimax 7209 con firmware 6.1 y antena ranurada de 8 ranuras por lado que estuvo trabajando muy bien con clientes a mas de 700mt totalmente de costado, contradiciendo a quienes dicen o piensan que solamente trabajan como antenas sectoriales. pensando inicialmente en un intruso se cambio el AP edimax 7209 por uno de reserva y se fue a los clientes a volver a conectarlos, empezando por el cliente de 400mt que era el que siempre estaba en su casa (fatal error ya contare mas adelante porque) tambien a la hermana q estaba a 300mt ambos con ap tplink 501g y panel de 14 dBi, se dejo conectados a estos clientes con diferente ap emisor, despues tambien al persistir el problema se opto por otra antena ranurada, encriptación y cable pigtail, todo esto en horas de la noche porque era insoportable las llamadas de los clientes quejándose del servicio, como ustedes saben ellos no esperaran claro es un servicio por el que pagan, se procedio a revisar en la base y el problema en vez de arreglarse se empeoraba, hasta la computadoras de la propia base colapsaban y los tiempos de respuesta a los DNS llegaban hasta 1,000 y 2,000ms, y constantes cortes peor que una conexión inalámbrica mala, solo una computadora lograba acceder a internet de las 10 pero con lentitud, ya cansados de subir y bajar de la torre siendo las 02.00 de la mañana nos dimos por vencidos y esperamos el dia para investigar cual era la falla.

    Al dia siguiente empezo la jornada de tortura, se cambio nuevamente el modem router por un zyxel primero se lo probo por espacio de 5 horas y el parecer el problema se habia solucionado, bueno eso pensamos hasta que regreso los tiempos de respuesta altisimos se cambio cable de red, filtro de cable teléfonico, el problema seguia, se coloco el Modem Router Asus 6020 que a decir es el mejor que hemos testeado hasta el momento, se configuro uno a uno los clientes por el lapso de 1 semana, en la mayoria de los casos esto trabajaban y no habia hora en la cual encontrarlos, el problema continuaba, los pines altos pero al menos ya no se cortaba tanto pero aun asi el internet que una vez fue tan veloz se redujo a un similar a los de 300kbps que en su epoca eran los mas veloces del primer proveedor adsl del peru; bueno ya casi resignados en parte a tener una velocidad inferior a la acostumbrada se dejo de lado el problema, pero siempre con la duda de pensar que era lo que estaba pasando con esa red.

    A los 09 días de iniciado el problema me llama por teléfono un cliente y amigo nuestro el buen Daniel E. y me pide un edimax 7209 para llevarselo cerca de su casa en Los Olivos, una vez llegado al punto de encuentro y despues de estar conversando mas de media hora de como le iba con su red me cuenta un problema similar que tuvo hace mas de 6 meses en esa oportunidad, cuando lo escuchaba y me detallaba los problemas que se presentaban como el pingponeo y el bloqueo del acceso a la internet de todos sus clientes se iba abriendo en mi pensamiento una ventana de tranquilidad y escuchaba cada vez mas atento su dialogo, bueno me explico que el problema se debia a un tipo de virus que ataca la red, empieza desde una maquina y se multiplica si no es eliminado a tiempo, volviendo la red totalmente un horror, lo que hace este virus es convertir a una pc en un tipo de servidor proxi, emula la mac de la puerta de enlace osea el router y todas las peticiones de internet lejos de salir por el modem router se dirigen hacia la computadora huesped, algo asi como alien cuando se reproduce dentro del cuerpo de un humano (jejeje), esto con la finalidad de recoger toda la información que se transfiere de las computadoras existentes en la red como cuentas bancarias, claves y cuentas de correos, etc, etc.

    Este tipo de problema se llama "ENVENENAMIENTO POR ARP" y tiene un nivel muy alto de perjucio, porque no solamente se queda en una maquina y como si alguien usa una memoria usb la lleva a una computadora con virus el virus se sube como si subiera al metropolitano y se multiplica en otro punto donde es conectada, en este caso el contagio se hace por via red.

    Me dijo que la unica solución era formatear las computadoras en general de toda la red, cosa que me parecio muy exagerada, no conocia aun el poder de este virus, y que la forma de darle formato era con un disco de inicio de windows 98, a traves de fdisk o con disk manager, que si formateaba con el cd de xp el problema regresaria apenas inicie la primera vez el xp, acto seguido sin conexion local osea cable desconectado habia que congelar el sistema operativo y cada vez que se debia instalar un programa o utilitario se debia de descongelar el sistema y cogelarlo inmediatamente antes de darle acceso a la red a esa computadora, agradeciéndole al amigo enrumbamos a la base planeando una estrategia que surtiera efecto.

    Procedimos a realizar el contrataque, mi sorpresa fue al revisar 2 maquinas cableadas estas presentaban en administrador de Hardware en el area de adaptadores de red unas conexiones mini puerto wan y otras mas que nunca estuvieron las que no desaparecian cuando se les daba eliminar, bueno hasta alli ya pensabamos que habiamos descubierto el origen del problema y que por fin ibamos a regresar a nuestra acostumbrada velocidad de internet.

    Como probar y saber mas de este virus se formateo 1 de las 2 computadoras cableadas con el cd de xp formato lento y al iniciar esta la conexion adicional aparecio, era cierto era un virus a prueba de simple formateo con xp.

    Con ese dato y a la segura con un casi perdido disco de booteo de win98se y diskmanager en operación, se formateo esa maquina se instalo el xp claro desconectando el cable de area local y wala ya no aparecio por fin la bendita conexion extra, a paso seguro y congelando el sistema se procedio a realizar la misma operación con las 10 computadoras cableadas quedando optimo el acceso a internet y por fin dandose un respiro de alivio, ya habian pasado 10 dias desde el inicio del problema.

    Al 13avo dia cuando ya todo se pensaba estaba bien y se habia terminado de instalar a los clientes inalambricos en un 80%, regreso otra vez el mismo problema era de ponerse a buscar pistola en mano al virus causante del problema que cual fantasma se asomaba nuavamente y causaba el malfuncionamiento de la red.

    Con cabeza fria y solo pensando que eran manotazos de ahogado nos pusimos a deducir si en la parte cableada ya no hay virus que es lo que esta pasando, nos pusimos a buscar ingresando a cada ap cliente para detectar alguna anomalia porque los pines de conexión inalambrica son una herramienta muy util para detectar el origen del problema se pingponeaba a cada ap y estos respondian lento, no se detecto problema alli puesto que todos estaban con mala conexión debido al virus, en vista de no encontrar al intruso nos pusimos a ingresar de 1 en 1 a cada ap cliente y por fin BINGO aparecio un AP TP-Link con una transferencia TX y RX de paquetes totalmente muy elevada para una sola computadora, teniamos abiertos los pingponeos a los aps clientes y computadoras cableadas elevados, lo unico que hicimos fue bloquear por MAC a ese AP y el problema se arreglo por fin, era una tremenda alegria y satisfacción de poder haber detectado y bloqueado momentaneamente el virus causante del problema, ah me olvidada comentarles las 10 computadoras clientes cableadas eran de una cabina propia en la misma base y antes de empezar este problema los mas asiduos cocurrentes eran quienes jugaban a juegos p2p como Gunbound, Rakion, Mu y estos que nunca faltaban a su reunión en la cabina para jugarse una partida de minimo 2 horas habian dejado de acudir por la lentitud de la velocidad de la internet y por tanto de los juegos por ya 1 semana de estos hechos, solo habia un cliente entrando a sus correos en una pc las demas vacias y un pequeñin tratando de ingresar a su juego de rakion sin exito por mas de media hora, este al ver que se arreglo el internet como si fuera una bala se fue a buscar a su "Mancha" y estos cual si estuvieran repartiendo algo gratis llegaron volando y caso peleandose para entrar a la cabina de sus amores.

    Como una alegria colectiva y alejados del virus causante del envenamiento de red, los clientes fueron llegando en grupos de a 3 para nuevamente regresar a la normalidad, era asombroso la rapidez con la que se pasaron la voz, porque la velocidad de esa cabina siempre destaco como una de las mas veloces de esa zona.

    Bueno lo unico que quedaba era eliminar a el rezago de virus aun latente en la computadora conectada al TP-Link con exceso de paquetes, se acudio al domicilio donde se usaba esta conexión y se pudo ver que tambien al igual que la otras dos computadoras tambien ya habia adquirido un minipuerto wan en sus conexiones hubo que formatearla con el mismo proceso se le conecto a la red inalambrica y todo quedo ok, esa fue la ultima vez que supimos de ese virus y hasta ahora he visto 4 casos similares que gracias a la experiencia ganada se pudo ofrecer la rapidez de la solución necesaria.

    P.D. La primera vez que se cambio de AP emisor y se fue a configurar el cliente AP TP-Link para mala suerte que ya tenia el virus, la pc presentaba esta conexion un minipuerto wan, hecho que fue ignorado por desconocimiento y ya se nos habia olvidado de eso hasta al casi terminar esta odisea de descubir su alta transferencia de paquetes de conexión en el Ap, si nos habraiamos dado cuenta no se habria sufrido tanto buscando una solución y haber pasado ya casi 15 dias y no cambiar tantos equipos buscando la solución. Como en toda guerra hay heridos y muertos lo heridos fuimos nosotros en el bolsillo puesto que hubo que descontar 10 dias a cada cliente en razón de cada S/.16.66x 30= S/.500.00+S/.800.00= Total S/.S/1,300.00 de pérdida causada por el virus por el otro lado el unico muerto fue el virus.

    Bueno amigos del foro espero que esta narración les sirva por si algun dia les visita el virus de envenenamiento de red por arp, que ya hasta el nombre me olvidado, ah presuntamente el virus en un inicio se habria propagado por via USB, asi es que es recomendable desactivar la reproducción automática del windows xp en las computadoras integrantes de su red .

    Saludos de José
    Soporte Técnico
    HF INFOCOM S.A.C.
     
  11. rvc63

    rvc63 Miembro de bronce

    Registro:
    26 Feb 2010
    Mensajes:
    1,081
    Likes:
    17
    A mi me a pasado algo similar con 2 clientes, uno via cable que lo solucionamos restaurando el sistema y otro via WIFI con un cliente reclamon q sin darse cuenta el causaba el LAG pero no se daba cuenta asi que se desafilio del servicio y problema solucionado :D

    Creo q con un buen firewall se puede evitar el largo proceso de formatear esto de parte Cliente, y Servidor bloqueando el numero de conexiones, puertos ...

    A nosotros nos costo como 15 dias que dejamos de hacer nuevas instalaciones, y cambiamos varios equipos para descartar fallas.

    Gracias José por tu experiencia compartida.
     
  12. rojocesar

    rojocesar Miembro de bronce

    Registro:
    3 May 2009
    Mensajes:
    1,770
    Likes:
    298
    Bueno solo aclarando solo aclarando.. el envenamiento por ARP es una tecnica que usan los hijos de su madre que quieren encontrar datos dentro de la red, un ejemplo es que la tecnica ""Man in the middle" utiliza esta tecnica.
    Otro punto es que el TPLink NO PUEDE TENER VIRUS.. porque no es guindows..

    Explicación, que pudo haber ocurrido entonces??? bueno eso si es facil de explicar, alguien en la red inalambrica intentó hackear esa red, uso como cliente a ese TPlink.. la tecnica que uso fue la clasica que tiene el aircrack, la mayoria no sabe ni siquiera que esta haciendo cuando usa el airoscript, pero eso se llama envenamiento por ARP.. esto causa que los equipos se vuelvan locos.. es decir genera TANTO trafico que se quedan colgados e inclusive son malogrados, este pobre TPlink fue la victima, y se quedo colgado generando trafico que da miedo y no habia nadie que lo pudiera parar, eso es lo que simplemente ocurrio..

    Moraleja, cuando no sepan que cosa ocurrio, llamen a los especialistas jajaja fumigadores de redes... pucha.. pero los comprendo.. para saber esta vayna vieran por lo que uno ha pasado.. sentado leyendo probando frustado hasta que ya comprende.. un abrazo
    :hi:
     
  13. eltaco1000

    eltaco1000 Miembro frecuente

    Registro:
    28 Abr 2010
    Mensajes:
    110
    Likes:
    13
    Asu amigo Jose... buena narracion... solo queda utilizar un servidor y tenetr un buen firewall
     
  14. rvc63

    rvc63 Miembro de bronce

    Registro:
    26 Feb 2010
    Mensajes:
    1,081
    Likes:
    17
    Recuerdo hace tiempo con junto con unos amigos encontramos unos malwares inyectados en codigos actions scripts o java en dos websites peruanas vivafm no recuerdo con q estension terminaba y caleta .c .p en ambos al ejecutar el player o por medio de popup te mentian un espia inofensivo a simple vista ... su fin era hacer este tipo de ataques pero sobre todo los DDoS ... eran miles de conexiones trabajamos en la solucion como 1-2 meses y demando mucho dinero. Tambien encontramos estos espias en los Windows Desatendidos. Estos espias dificilmente estan en las base de datos de los antivirus porque en si no son virus.

    Saludos
     
  15. yohanvil

    yohanvil Miembro de bronce

    Registro:
    18 May 2009
    Mensajes:
    2,299
    Likes:
    57
    Espectacular experiencia, me hace recordar un poco cuando tenia una cabina de internet, que me ataco un virus que me reiniciaba las PCs... alla por el 2004, algunos deben recordar, exploto ese fatidico 9/11, en fin... hoy en dia... la administracion de puertos es vital y supernecesaria, sin embargo siempre es momento de parar oido....

    CESAR!!!, cuando empiezan las clases maestro!! ya nacio mi bebe... asi que tengo este mes mas... y listo... las ganas siguen al 100%!!!

    saludos
     
  16. rojocesar

    rojocesar Miembro de bronce

    Registro:
    3 May 2009
    Mensajes:
    1,770
    Likes:
    298
    Hola Yohan.. te voy a mandar un MP para hacer las coordinaciones respectivas para que sea antes que termine Julio.. y solo para gente del foro... osea gente conocida que sepa apreciar esta informacion sobre seguridad nos vemos
     
  17. jhonnathan0103

    jhonnathan0103 Miembro de plata

    Registro:
    25 Dic 2009
    Mensajes:
    2,504
    Likes:
    158
    Tu pon el dia y la hora!!!!!! yo pongo las ganas jejejejje :biggrin:
     
  18. alexpulsar

    alexpulsar Miembro maestro

    Registro:
    8 Jun 2010
    Mensajes:
    713
    Likes:
    76
    Asuu parece el narrador de cuentos..
    Talves esto me esta pasando ahora ...
    Misclientes tienen una muy buena conexion 35 7 45 dbi con su ap tpilnk
    Pines de 2 a 20 y nose quien entra el pineo en todos sube hasta los 2000
    que horror esto recien me esta pasando...
    Talves sea uno de estos virus..y en los clientes les instalo el nod 32 con firewal..
    Sera acaso este mi problema...
    antes no ocurria esto en fin..
    cuando entro al ap de un cliente a 800 mtrs le llega con 35 y el pineo esta por las nuves ...alguien alguna sugerencia ..
     
    Última edición: 29 Jun 2010
  19. chipset

    chipset Miembro maestro

    Registro:
    18 Abr 2010
    Mensajes:
    630
    Likes:
    29
    uno de tus clientes debe estar con virus, aislalo antes de que la cosa empeore.
     
  20. alexpulsar

    alexpulsar Miembro maestro

    Registro:
    8 Jun 2010
    Mensajes:
    713
    Likes:
    76
    Hola gracias por la respuesta pero mira sin trafico el pineo esta por 2 y 20 y cuando hay trafico llega como a 1000 esto es normal..
    Tambien otro los demas solo tienen el ap encendido (el pc apagado) pero el pin es alto igual sube como si estubieran navegando..
    osea es algo asi como espejo.. se refleja en los demas ...
    Creo que voy a abrir un post especial para este caso..