Actividad maliciosa detectada en la red de nuestro cliente, según el ISP

Spartansoul

Lanero Activo
Se unió
8 Dic 2014
Mensajes
6
Buenas tardes, gente. Saludos desde la ciudad de Pasto (Colombia)

Hace ya mucho tiempo que no participo en Laneros.com en ninguno de los foros.

Hoy vuelvo por aquí solicitando de sus valiosas ayudas con la siguiente situación que nos tiene preocupado a mi jefe y a mí:

Nuestro cliente tiene contratado en la misma ciudad a Consulnetworks S.A. E.S.P. como su ISP, empresa que si algunos la conocen, su sede principal se encuentra en la ciudad de Cali.

Todos los equipos y servidores de la red del cliente tienen licencia de Bitdefender instalada.
  • A principios del mes de agosto empezamos a observar en cada equipo de la red, una imagen como la siguiente:

  • Luego, notamos que el dueño tenía dificultad para mirar contenidos de Netflix en cualquier dispositivo:

Como solución del momento, optamos por cambiar la dirección IP pública por otra disponible dentro del mismo segmento. Sin embargo, en la semana siguiente, la conexión a Internet fue muy intermitente, por lo que tocó devolverse a la dirección IP contratada.
  • Ante estos impases, reportamos el caso al ISP cuya respuesta fue en pocas palabras "debe realizar una investigación dentro de los servidores y/o equipos para validar la existencia de malware alojado sobre los mismos."
Durante este mes de septiembre, hemos recibido varios correos del profesional de seguridad de Consulnetworks en la que nos indica una presunta presencia de software malicioso sobre la red LAN del cliente, correos que adjunto en carpeta comprimida a este hilo para que los chequeén/revisen. Cada correo muestra al pie de la página, un encabezado con una cuenta de correo del dominio de Consulnetworks; es decir, como si la actividad maliciosa se originara desde estos correos que ni nuestro cliente ni nosotros manejamos.

Es de indicar también que a todos los equipos y servidores de la red le hemos pasado un análisis de malware, teniendo en cuenta la licencia de Bitdefender instalada, y no se han detectado amenazas algunas.

Dada la alta importancia de este asunto y que el personal de nuestro cliente por este hecho no puede navegar de manera fluida en Internet, les agradezco a ustedes sus consejos, puntos de vista, diagnóstico, acciones, soluciones que podemos realizar.

¡Muchas gracias a todos!
 

Adjuntos

madotsukidream

Lanero Reconocido
Se unió
31 Mar 2017
Mensajes
112
intenten revisar las configuraciones de firewall o modem tal vez alguien esta usando un vpn mediante la opcion de openvpn. revise la direccion ip de que pais esta para chechar browserleaks
 

Spartansoul

Lanero Activo
Se unió
8 Dic 2014
Mensajes
6
Buenas noches, gente.

Me disculpo por dar esta respuesta tarde. Les comento que como última opción se optó por cambiar el ISP del cliente por IP Technologies. Desde principios de noviembre hasta la fecha no ha presentado inconvenientes en la navegación, como los que publiqué en este hilo.

Les agradezco a todos por sus visualizaciones y a madotsukidream por su aporte.
 

nomadmzl

Lanero Reconocido
Se unió
21 Mar 2014
Mensajes
139
Ummm, yo preferiría quedarme con el anterior, resulta que los correos salen de una IP que está comprometida... es como cambiar el sofá cuando la esposa le está poniendo los cachos.

Lo mejor sería revisar los logs del Firewall y encontrar la actividad sospechosa.
 

JulianD

Lanero Reconocido
Se unió
13 Abr 2001
Mensajes
9,307
Buenas noches, gente.

Me disculpo por dar esta respuesta tarde. Les comento que como última opción se optó por cambiar el ISP del cliente por IP Technologies. Desde principios de noviembre hasta la fecha no ha presentado inconvenientes en la navegación, como los que publiqué en este hilo.

Les agradezco a todos por sus visualizaciones y a madotsukidream por su aporte.
Ummm, yo preferiría quedarme con el anterior, resulta que los correos salen de una IP que está comprometida... es como cambiar el sofá cuando la esposa le está poniendo los cachos.

Lo mejor sería revisar los logs del Firewall y encontrar la actividad sospechosa.
Habría que esperar para saber si volvieron a tener problemas. Ese error de Google por lo general significa que alguien con tu misma IP está haciendo llamados a Google muy seguido por lo que puede disparar la protección anti spam.

Si el ISP estaba enrutando todos sus clientes por medio de un mismo servidor proxy, es posible que esa fuera la razón y no un virus. Sin embargo, toca estar muy pendiente igual de cualquier actividad sospechosa. Lo mejor es ir a mirar las conexiones abiertas, procesos que estén tomando más CPU de lo esperado, revisar las reglas de ignorarción del antivirus, entre otras cosas.
 
Arriba