Tengo el miedo metido en el cuerpo. Cosas raras pasan. Y según las ideas que me han dado, pueden ser cosas raras graves. Tengo Lenny, por si alguien no se ha enterado aún (¡tengo Lenny!).

Mi historia empieza en el IRC. Gente de un canal se quejaba de que recibía queries y DCCs a montones por mi parte. No me lo creía, total, podían estar de cachondeo. Pero me mandaron una screenshot que no daba lugar a dudas, les estaba enviando un archivo raro por DCC (vit_lip.xml~, de 108 kB) y yo voluntariamente no lo hice :o. Me dijeron que podía ser cosa de un rootkit o un virus. He pasado el clam y el rkhunter pero nada :(

Luego, en DALnet, me repatean cada dos por tres:


* *** Notice -- Received KILL message for [email protected]. From Jack Path: arcor!staff.dalnet!Jack (Flooding will not be tolerated on DALnet. Continued abuse will result in a ban from the network.)
* *** Notice -- Received KILL message for [email protected]. From Jack Path: arcor!staff.dalnet!Jack (Flooding will not be tolerated on DALnet. Continued abuse will result in a ban from the network.)
* *** Notice -- Received KILL message for [email protected]. From Jack Path: arcor!staff.dalnet!Jack (Flooding will not be tolerated on DALnet. Continued abuse will result in a ban from the network.)
* *** Notice -- Received KILL message for [email protected]. From Jack Path: arcor!staff.dalnet!Jack (Flooding will not be tolerated on DALnet. Continued abuse will result in a ban from the network.)
* *** Notice -- Received KILL message for {[email protected]. From Jack Path: arcor!staff.dalnet!Jack (Flooding will not be tolerated on DALnet. Continued abuse will result in a ban from the network.)
* *** Notice -- Received KILL message for |JoKeR|[email protected]. From Jack Path: arcor!staff.dalnet!Jack (Flooding will not be tolerated on DALnet. Continued abuse will result in a ban from the network.)
* *** Notice -- Received KILL message for [email protected]. From Jack Path: arcor!staff.dalnet!Jack (Flooding will not be tolerated on DALnet. Continued abuse will result in a ban from the network.)
* *** Notice -- Received KILL message for [email protected]. From Jack Path: arcor!staff.dalnet!Jack (Flooding will not be tolerated on DALnet. Continued abuse will result in a ban from the network.)
* *** Notice -- Received KILL message for [email protected]. From Jack Path: arcor!staff.dalnet!Jack (Flooding will not be tolerated on DALnet. Continued abuse will result in a ban from the network.)
* *** Notice -- Received KILL message for [email protected]. From Jack Path: arcor!staff.dalnet!Jack (Flooding will not be tolerated on DALnet. Continued abuse will result in a ban from the network.)
* *** Notice -- Received KILL message for [email protected]. From erols Path: rumble!staff.dalnet!Erols (Clones and/or channel fillers are not allowed on DALnet. Continued abuse will result in a ban from the network.)
* *** Notice -- Received KILL message for [email protected]. From erols Path: rumble!staff.dalnet!Erols (Clones and/or channel fillers are not allowed on DALnet. Continued abuse will result in a ban from the network.)
* *** Notice -- Received KILL message for [email protected]. From erols Path: rumble!staff.dalnet!Erols (Clones and/or channel fillers are not allowed on DALnet. Continued abuse will result in a ban from the network.)
* *** Notice -- Received KILL message for [email protected]. From erols Path: rumble!staff.dalnet!Erols (Clones and/or channel fillers are not allowed on DALnet. Continued abuse will result in a ban from the network.)
* *** Notice -- Received KILL message for [email protected] e. From erols Path: rumble!staff.dalnet!Erols (Clones and/or channel fillers are not allowed on DALnet. Continued abuse will result in a ban from the network.)Eso en media hora, si bien no me puedo quejar porque no sé lo que es ni de lo que va, pero en fin... no suena muy bien ¿no?

A ver si me han colao algo y no me he enterao...

thx in advance.

Pues tiene toda la pinta,

¿qué cliente de irc usas?

Pega aquí la salida de `ps -aux` (en el momento de esos dcc).

Salu2



http://img359.imageshack.us/img359/6631/celliigy4.pngKeep on Rollin' :mad:

Vale, ahora mismo hay DCC y Queries, mira:
nost@confussion:~$ ps -aux
Warning: bad ps syntax, perhaps a bogus '-'? See http://procps.sf.net/faq.html
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.2 2028 256 ? Ss 09:25 0:03 init [2]
root 2 0.0 0.0 0 0 ? S< 09:25 0:00 [kthreadd]
root 3 0.0 0.0 0 0 ? S< 09:25 0:00 [migration/0]
root 4 0.0 0.0 0 0 ? S< 09:25 0:00 [ksoftirqd/0]
root 5 0.0 0.0 0 0 ? S< 09:25 0:00 [watchdog/0]
root 6 0.0 0.0 0 0 ? S< 09:25 0:03 [events/0]
root 7 0.0 0.0 0 0 ? S< 09:25 0:00 [khelper]
root 38 0.0 0.0 0 0 ? R< 09:25 0:05 [kblockd/0]
root 41 0.0 0.0 0 0 ? S< 09:25 0:00 [kacpid]
root 42 0.0 0.0 0 0 ? S< 09:25 0:00 [kacpi_notify]
root 104 0.0 0.0 0 0 ? S< 09:25 0:00 [kseriod]
root 135 0.0 0.0 0 0 ? S< 09:25 0:28 [kswapd0]
root 136 0.0 0.0 0 0 ? S< 09:25 0:00 [aio/0]
root 526 0.0 0.0 0 0 ? S< 09:25 0:00 [ksuspend_usbd]
root 531 0.0 0.0 0 0 ? S< 09:25 0:00 [khubd]
root 611 0.0 0.0 0 0 ? S< 09:25 0:00 [ata/0]
root 615 0.0 0.0 0 0 ? S< 09:25 0:00 [ata_aux]
root 705 0.0 0.0 0 0 ? S< 09:25 0:04 [kjournald]
root 890 0.0 0.1 2836 232 ? S<s 09:25 0:01 udevd --daemon
root 1258 0.0 0.0 0 0 ? S< 09:26 0:00 [kpsmoused]
root 1751 0.0 0.0 0 0 ? S< 09:26 0:02 [kjournald]
daemon 1926 0.0 0.1 1828 164 ? Ss 09:26 0:00 /sbin/portmap
statd 1946 0.0 0.1 1888 208 ? Ss 09:26 0:00 /sbin/rpc.statd
root 2227 0.0 0.0 0 0 ? S< 09:26 0:00 [kondemand/0]
root 2272 0.0 0.2 1756 268 ? Ss 09:26 0:00 /sbin/syslogd
root 2289 0.0 0.1 1708 180 ? Ss 09:26 0:00 /sbin/klogd -x
root 2388 0.0 0.1 1708 240 ? Ss 09:26 0:00 /usr/sbin/acpid -c /etc/acpi/events
104 2406 0.0 0.4 2664 600 ? Ss 09:26 0:01 /usr/bin/dbus-daemon --system
root 2447 0.0 0.1 5136 196 ? Ss 09:26 0:00 /usr/sbin/sshd
101 2788 0.0 0.1 6168 204 ? Ss 09:26 0:00 /usr/sbin/exim4 -bd -q30m
root 2846 0.0 0.1 1884 164 ? Ss 09:26 0:00 /usr/sbin/inetd
avahi 2901 0.0 0.4 2888 528 ? Ss 09:26 0:00 avahi-daemon: running [confussion.local]
avahi 2902 0.0 0.0 2776 92 ? Ss 09:26 0:00 avahi-daemon: chroot helper
root 2945 0.0 0.2 2012 336 ? Ss 09:26 0:02 /usr/sbin/dhcdbd --system
109 2964 0.0 0.8 5612 1072 ? Ss 09:26 0:03 /usr/sbin/hald
root 2965 0.0 0.3 3344 384 ? S 09:26 0:00 hald-runner
root 2996 0.0 0.3 3412 392 ? S 09:26 0:00 hald-addon-input: Listening on /dev/input/event3 /dev/input/event0
109 3005 0.0 0.1 2196 204 ? S 09:26 0:00 hald-addon-acpi: listening on acpid socket /var/run/acpid.socket
root 3016 0.0 0.3 3412 404 ? S 09:26 0:07 hald-addon-storage: polling /dev/hdc (every 2 sec)
root 3041 0.0 1.0 37696 1288 ? Ssl 09:26 0:01 /usr/sbin/NetworkManager --pid-file /var/run/NetworkManager/NetworkManager.pid
root 3061 0.0 0.6 3524 768 ? Ss 09:26 0:00 /usr/sbin/NetworkManagerDispatcher --pid-file /var/run/NetworkManager/NetworkManagerDispatcher.pid
root 3175 0.0 0.3 14048 384 ? Ss 09:26 0:00 /usr/sbin/gdm
root 3179 0.0 0.4 14500 576 ? S 09:26 0:00 /usr/sbin/gdm
root 3186 9.0 17.1 41984 21524 tty7 Rs+ 09:26 45:03 /usr/X11R6/bin/X :0 -audit 0 -auth /var/lib/gdm/:0.Xauth -nolisten tcp vt7
daemon 3258 0.0 0.1 1972 144 ? Ss 09:26 0:00 /usr/sbin/atd
root 3285 0.0 0.2 3852 324 ? Ss 09:26 0:00 /usr/sbin/cron
root 3344 0.0 0.1 2540 216 tty1 Ss 09:26 0:00 /bin/login --
root 3345 0.0 0.1 2540 220 tty2 Ss 09:26 0:00 /bin/login --
root 3347 0.0 0.1 1708 160 tty3 Ss+ 09:26 0:00 /sbin/getty 38400 tty3
root 3349 0.0 0.1 1708 160 tty4 Ss+ 09:26 0:00 /sbin/getty 38400 tty4
root 3351 0.0 0.1 2540 216 tty5 Ss 09:26 0:00 /bin/login --
root 3354 0.0 0.1 1708 160 tty6 Ss+ 09:26 0:00 /sbin/getty 38400 tty6
nost 3398 0.0 0.1 4780 200 ? Ss 09:27 0:00 /bin/sh /etc/xdg/xfce4/xinitrc -- /etc/X11/xinit/xserverrc
nost 3431 0.0 0.0 4536 112 ? Ss 09:27 0:00 /usr/bin/ssh-agent startxfce4
nost 3442 0.0 1.2 15684 1564 ? S 09:27 0:00 /usr/bin/xfce4-session
nost 3445 0.0 1.6 20688 2088 ? Ss 09:27 0:09 xfce-mcs-manager
nost 3451 0.0 0.2 6708 308 ? S 09:27 0:00 gnome-keyring-daemon
nost 3453 0.6 3.5 17588 4484 ? S 09:27 3:03 xfwm4
nost 3455 0.2 4.5 21024 5668 ? S 09:27 1:12 xfce4-panel
nost 3457 0.0 0.9 24432 1148 ? Sl 09:27 0:00 Thunar --daemon
nost 3459 0.2 2.9 60668 3708 ? Sl 09:27 1:26 xfdesktop
nost 3466 0.0 2.8 21616 3624 ? S 09:27 0:11 /usr/lib/xfce4-screenshooter-plugin/xfce4/panel-plugins/xfce4-screenshooter-plugin socket_id 10485807 name screenshooter id 12145657491 display_name Captura de pantalla size 25 screen_position 2
nost 3467 0.2 2.2 15432 2768 ? S 09:27 1:15 /usr/lib/orage/xfce4/panel-plugins/orageclock socket_id 10485818 name orageclock id 12156294340 display_name Orage Clock size 33 screen_position 10
nost 3468 0.6 2.3 16196 2992 ? S 09:27 3:07 /usr/lib/xfce4-wavelan-plugin/xfce4/panel-plugins/xfce4-wavelan-plugin socket_id 10485819 name wavelan id 12160530060 display_name Wavelan size 33 screen_position 10
nost 3469 0.1 0.0 0 0 ? Z 09:27 0:49 [xfce4-netload-p] <defunct>
nost 3470 0.2 2.7 24404 3428 ? S 09:27 1:17 /usr/lib/xfce4/panel-plugins/xfce4-menu-plugin socket_id 10485823 name xfce4-menu id 5 display_name Menú de Xfce size 33 screen_position 10
root 3475 0.0 0.2 5740 280 tty1 S+ 09:27 0:01 -bash
root 4080 0.0 0.2 5740 260 tty2 S 11:07 0:00 -bash
nost 4122 0.0 0.1 6252 220 tty5 S 11:09 0:00 -bash
nost 4136 0.0 0.7 14676 980 tty5 Sl+ 11:09 0:10 eggdrop -n
nost 4176 0.0 0.7 6380 892 ? S 11:14 0:00 /usr/lib/libgconf2-4/gconfd-2 13
nost 4243 2.7 6.0 41228 7560 ? Ssl 11:39 10:00 xchat
nost 9642 1.3 16.7 75212 20988 ? Ss 15:20 1:57 pidgin
root 9691 0.0 0.0 0 0 ? S< 15:31 0:02 [rt73usb]
nost 9801 0.0 0.1 3028 204 ? S 13:55 0:00 dbus-launch --autolaunch 5cd4e5965fa788908631761c485d2015 --binary-syntax --close-stderr
nost 9802 0.0 0.3 2536 484 ? Ss 13:55 0:02 /usr/bin/dbus-daemon --fork --print-pid 27 --print-address 29 --session
nost 9804 0.6 3.0 26540 3836 ? S 13:55 1:26 /usr/lib/notification-daemon/notification-daemon
root 9805 0.0 0.1 2108 136 ? Ss 15:35 0:00 dhclient wlan0
nost 9856 6.4 24.9 140072 31296 ? Ssl 15:49 7:22 /usr/lib/opera/9.51/opera -style Plastik
root 10171 0.8 0.4 2316 616 tty2 S+ 16:08 0:51 top
clamav 10581 0.2 0.3 3028 376 ? Ss 16:19 0:10 /usr/bin/freshclam -d --quiet
nost 10703 0.4 6.1 32152 7668 ? S 17:12 0:08 /usr/bin/xfce4-terminal
nost 10705 0.0 0.2 2900 260 ? S 17:13 0:00 gnome-pty-helper
nost 10706 0.0 0.8 6244 1056 pts/0 Ss 17:13 0:00 bash
root 10718 0.0 0.0 0 0 ? S 17:13 0:00 [pdflush]
root 10763 0.0 0.0 0 0 ? S 17:41 0:00 [pdflush]
nost 10790 4.0 0.8 4128 1036 pts/0 R+ 17:44 0:00 ps -aux
root 13806 0.0 0.2 8088 276 ? Ss 14:14 0:00 /usr/sbin/cupsdDos aclaraciones, se vería más bonito con un [code] monoespacio, y el eggdrop -n es mío legítimo. Y uso xchat, pero creo que se produce el problema también con irssi.

¿No será el eggdrop?

Prueba a quitarlo y comprueba si sigue el problema.

Pues no creo, puesto que el eggdrop estaba en DALnet (la de los KILL) y los queries se produjeron en IRC-Hispano. Y además, el eggdrop no estaba activo las últimas veces que hubo aluvión de queries.

Pero el log que pegaste arriba mostraba líneas del estilo "Flooding will not be tolerated on DALnet. Continued abuse will result in a ban from the network."

Pues eso digo. El eggdrop no estaba conectado a DALnet en ese momento. De todas maneras, no importa si está o no conectado, da esos KILL, y mi bot no está configurado para hacer nada, sólo entra en un canal y se queda totalmente inmóvil.

Pues debe ser cosa de xchat entonces, no creo que con irssi tengas el mismo problema, aunque los dcc lleguen de tu misma ip, no deberías ver los avisos enviados a otro programa, aunque comparta la misma ip.

Salu2



http://img359.imageshack.us/img359/6631/celliigy4.pngKeep on Rollin' :mad:

O no me has entendido o no te he entendido :confused:

Prosigue la agonía.

El asunto está mal y cada vez va a peor. Ni con irssi, ni con otra cuenta de usuario, ni con otro entorno de escritorio. Siguen habiendo DCCs. Formateo ya, ¿no? (pensaba que no tendría que decir esto en linux, en fin...)

Alguien está mandando esos paquetes y es una buena oportunidad para escudriñar un poco el sistema. Monitoriza el tráfico de la red, averigua cuál es el proceso que realiza las peticiones dcc. Prueba, por supuesto, con y sin clientes de irc activos (primero sin, luego con).

Arranca con una livecd para verificar la no existencia de rootkits, escanea desde otra máquina que se sepa intacta, asegúrate de que no hay intrusos en tu red...

Con eso tienes unas pocas ideas como para estar entretenido un rato. :D

Mientras tanto, puedes configurar tu cortafuegos para que no deje salir a esos molestos paquetes. Así puedes estudiarlo con tranquilidad y sin riesgo de estar enviando nada afuera.

En resúmen, controla cada paquete que envía y recibe tu máquina.

PD: He visto algunos servicios que, además de innecesarios, son molestos (al menos a la vista). Quítalos de enmedio! :)

Salu2



http://img359.imageshack.us/img359/6631/celliigy4.pngKeep on Rollin' :mad:

Alguien está mandando esos paquetes y es una buena oportunidad para escudriñar un poco el sistema. Monitoriza el tráfico de la red, averigua cuál es el proceso que realiza las peticiones dcc. Prueba, por supuesto, con y sin clientes de irc activos (primero sin, luego con).¿Con qué programas? ¿Cómo?
Arranca con una livecd para verificar la no existencia de rootkits, escanea desde otra máquina que se sepa intacta, asegúrate de que no hay intrusos en tu red...Rootkits no sé si hay. He probado con todos los programas anti-rootkits que hay en los repositorios, pero dicen que nada, que todo está de puta madre. El problema también se reproducía en la conexión de Yoigo, en la que me duele la boca (mejor dicho, los dedos) de decir que estaba tras un NAT, que no tenía IP «propia», y suelo (reléase suelo) tener mucho cuidado con lo que ejecuto como root.
Intrusos en la red... bueno, yo mismo soy intruso en mi red :D Ni kismet ni ningún programa parecido me reportan nada. Parece que estoy solo en esta red. Es bastante sospechoso, una semana y nunca he visto a nadie ¬¬
Con eso tienes unas pocas ideas como para estar entretenido un rato. :D#cat /dev/urandom > /dev/hda1 » la solución a mi problema. No tendré que entretenerme :D
Mientras tanto, puedes configurar tu cortafuegos para que no deje salir a esos molestos paquetes. Así puedes estudiarlo con tranquilidad y sin riesgo de estar enviando nada afuera.A ver si consigo arrancarlo, porque firestarter gráfico no arranca. Muy raro :confused:
PD: He visto algunos servicios que, además de innecesarios, son molestos (al menos a la vista). Quítalos de enmedio! :)Sí, cupsd por ejemplo no hace nada, y menos en un ordenador sin impresoras. Ah no espera, que no voy a formatear (risa diabólica).

Si es un virus, lo mas seguro es que haya enviado algun mensaje de victoria a su creador, o que lo mande cada vez que tu te conectas, con lo que podrias capturar esos paquetes (sin duda, sin cifrado) y mirar a ver "que llevan dentro":D:D

Con algun Sniffer desde otro PC probablemente puedas verlo.

La duda esta en: Esto te ocurre desde que conseguiste ser un intruso en tu red??:D
Porque entonces me parece a mi que va a ser que el Admin. de la red no es tan tonto como parecia.


Un saludo

Pues he sido previsor. Esta noche he dejado al ordenador esnifando paquetes y esta mañana he crackeado. Estoy en otra red distinta, y el problema se sigue produciendo (ya cansa tanto decir eso :D)

Wireshark.........

¿Necesito dos tarjetas de red, una para esnifar y otra para producir, para que «pique» el gilipollas y piense que estoy conectado, no?

*Bueno, el juakeado soy yo, así que el gilipollas soy yo :(

No para monitorizar la red una vez conectado a ella no necesitas dos tarjetas... Pero antes debes asegurarte de que tu sistema es capaz de monitorizar el tráfico que se produce en la interfaz de red inalámbrica. En GNU/linux no hay problema, pero creo que en włndows no se puede.

Salu2



http://img359.imageshack.us/img359/6631/celliigy4.pngKeep on Rollin' :mad: