Tips de seguridad

Tips básicos para análisis y detección de incidentes de seguridad en servidores

Analice en los registros de eventos, de aplicaciones y de seguridad en búsqueda de eventos inusuales o que no tenga sentido que existan.
Revise la configuración de red y conexiones, identifique y anote configuraciones anómalas, sesiones y puertos abiertos sospechosos.
Revise la lista de cuentas de usuarios y/o administradores que no debería acceder al servidor.
Revise la lista de procesos en ejecución y trabajos programados y anote los que no deberían estar ejecutados o que le parezcan sospechosos.
Busque aplicaciones inusuales configuradas para ejecutarse automáticamente al inicio del sistema.
Compruebe la configuración de DNS y ARP así como el archivo de hosts para identificar entradas no validas o sospechosas.
Utilice un sniffer de red para monitorear actividad sospechosa.

No entre en pánico y concéntrese en la detección, tome nota para realizar un análisis exhaustivo de lo que observó y así evitar errores por descuido.
Para conservar las huellas (footprint) de un atacante, evite instalar aplicaciones o acceder a archivos después del incidente de seguridad detectado.
Notifique a su jefe inmediato.
Involucre a un especialista en respuesta a incidentes (CSIRT).
Si detecta un ataque en tiempo real, desconecte el servidor de la red pero NO REINICIE NI APAGUE EL EQUIPO.
Evite enviar información del incidente por correo electrónico o mensajería instantánea sin cifrado.
No comparta detalles de lo sucedido con personas fuera del equipo de respuesta a incidentes.

Cómo …	comandos Windows	unix
Revisar el registro de eventos	Eventvwr	wtmp,who,last,lastlog
.
Examinar la configuración de red	arp -a , netstat -nr	arp -an,route print
.
Examinar conexiones de red	netstat -nao, netstat -vb, net session, net use	netstat -nap, nestat -na,
.
Examinar conexiones de usuarios y grupos	lusrmgr, net users,net localgroup administrators, net group administrators	more /etc/passwd
.
Examinar tareas programadas	schtasks	more /etc/crontab, ls /etc/cron.* ,ls /var/at/jobs
.
Examinar aplicaciones de inicio automático	msconfig	chekconfig –list, ls /etc/rc*.d
.
Listar procesos	taskmgr,wmic process list full	ps aux
.
Listar servicios	net start, tasklist/svc
.
Examinar DNS y archivo de hosts	more %SystemRoot%\System32\Drivers\etc\hosts ,ipconfig/displaydns	more /etc/resolv.conf, more /etc/hosts
.
Verificar archivos modificados recientemente	dir /a/o-d/p %SystemRoot%\System32	ls -lat

Espero les sea de utilidad.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Deja tu comentario