Resultados 1 al 6 de 6

Ayuda!!!!!!!!!!!!!!

  1. #1 Ayuda!!!!!!!!!!!!!! 
    Iniciado
    Fecha de ingreso
    Nov 2005
    Mensajes
    4
    Descargas
    0
    Uploads
    0
    Hola, mi nombre es Eduardo, soy un novato en esto del hacking, bueno a decir verdad no se nada del hacking
    Tengo un tiempo jugando uplink y en el vi varias cosas que se puedes hacer y me di cuenta que cada coneccion deja un log.

    Entonces por mera curiosidad revise los logs de mi ruteador (router) y "BINGO" me di cuenta de que yo he sido victima de ataques y no precisamente del corazon...

    0000-00-00 03:14:49 E |Attack Detected |TCP packet fragmented - 66.36.141.6:33474 -> xxx.xxx.xxx.xxx:6881 len=40 id=0

    Despues revise los logs de mi firewall...

    Nov 29 12:27:19 cowboy ipfw: Stealth Mode connection attempt to UDP xxx.xxx.xxx.x:1025 from 152.47.49.100:0
    Nov 29 12:53:02 cowboy ipfw: Stealth Mode connection attempt to UDP xxx.xxx.xxx.x:1025 from 172.99.179.18:40336
    Nov 29 13:29:15 cowboy ipfw: Stealth Mode connection attempt to UDP xxx.xxx.xxx.x:1025 from 96.4.213.138:0
    Nov 29 13:41:39 cowboy ipfw: Stealth Mode connection attempt to UDP xxx.xxx.xxx.x:1025 from 143.26.219.49:0
    Nov 29 13:54:07 cowboy ipfw: Stealth Mode connection attempt to UDP xxx.xxx.xxx.x:1025 from 161.140.154.240:28048
    Nov 29 13:54:07 cowboy ipfw: Stealth Mode connection attempt to UDP xxx.xxx.xxx.x:1025 from 70.96.226.252:0
    Nov 29 13:54:07 cowboy ipfw: Stealth Mode connection attempt to UDP xxx.xxx.xxx.x:1025 from 70.96.226.252:0

    Tal vez estoy siendo paranoico por que no entiendo muy bien la informacion que me dan los logs,
    Ya quise conectarme a algunas de las direcciones ip via ftp, pero me pide login/password tambien se de donde son algunas de las ip, pero no se que puedo hacer al respecto, si contra atacar (como si supiera como .) o solo quedarme tranquilo.

    Enfin, tengo ya un par de semanas monitoreando mis logs y por lo menos tengo hasta 5 de este tipo al dia.


    Les pido de favor me aconsejen que puedo hacer para contra restar los ataques.
    De antemano te doy las gracias.
    Citar  
     

  2. #2  
    Moderador HH
    Fecha de ingreso
    Sep 2004
    Ubicación
    AR
    Mensajes
    867
    Descargas
    2
    Uploads
    0
    mm...me da la impresion de que quisieron atacarte con tecnicas del tipo ICMP, saturacion MTU o fragmentacion de paquetes, para provocarte un DoS.
    No creo que debas asustarte, ya que esos logs no dicen que hubo intrusion efectiva, si no justamente muestra los intentos de PINGS hacia tu host, al parecer.
    Si hubiera intrusion, dudo que te enteres por el LOG del firewall...ups!, ya que los firewall no alertan de intrusos, SOLAMENTE bloquen el trafico entrante.(o casi)
    Lo unico que podria mostrarte una intrusion en tiempo real seria un IDS.

    salu2
    La inspiracion es una impredecible puta. Usualmente ella me besa cuando nadie mas quiere hacerlo.
    Citar  
     

  3. #3  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    Bueno, creo que no tienes mucho de qué preocuparte, si me equivoco en esto que por favor alguien me corrija.
    El caso es que esos ataque que detectas están hechos al puerto 1025, que es el típicamente usado por RPC, windows deja abiertos puertos del 1025 al 1029 para este servicio. Algunos virus usan esos puertos para propagarse. O sea que parecen escaneos buscando una vulnerabilidad de la que tu router no adolece. Y seguramente los equipos que te lanzan los escaneos sean equipos a su vez infectados, cuyos dueños muy probablemente no sepan que están atacando a otros equipos, bien en la red del proveedor de servicios bien en internet...

    Salu2

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

  4. #4  
    Iniciado
    Fecha de ingreso
    Nov 2005
    Mensajes
    4
    Descargas
    0
    Uploads
    0
    Gracias por su ayuda!!!

    Olvide comentar que los puertos 1025 y 6881 yo los abri intencionalmente uno para el direct connect y el otro para el bittorrent y tambien olvide comentar que estoy en osX, aunque no se si eso haga alguna diferencia.

    Por otro lado, perdonen mi ignorancia pero la verdad no tengo idea de lo que es un "IDS" y como lo puedo conseguir. Por otro lado hay alguna forma de saber si alguien esta conectado a mi maquina por medio de la terminal con algun comando (es que tampoco se usar la terminal)

    ah y por poco lo olvido, vean este log

    Nov 30 13:05:57 cowboy ipfw: 20000 Deny ICMP:8.0 192.168.254.254 xxx.xxx.xxx.x in via en0
    Nov 30 13:21:02 cowboy ipfw: 20000 Deny ICMP:8.0 192.168.254.254 xxx.xxx.xxx.x in via en0

    Por cierto que ayer me pase una hora entera monitoriando los logs del firewall y es un intento cada 30 segundos aprox.

    Espero no molestarlos con mi preguntadera...

    Gracias nuevamente por su ayuda.

    Cowboy.
    Citar  
     

  5. #5  
    Moderador HH
    Fecha de ingreso
    Sep 2004
    Ubicación
    AR
    Mensajes
    867
    Descargas
    2
    Uploads
    0
    Un IDS reconoce a los intrusos, los identifica, y hasta puede parar el ataque, por eso, es como una alarma antirrobo con cámaras de seguridad, junto con un banco de datos que reconoce al intruso y con un sistema de vigilancia que registra los accesos y envía a "la policía" a atrapar al ladrón.
    Un FIREWALL bloquea los accesos a puertos no permitidos, pero ¿y si alguien entra por un puerto permitido?...pues el firewall lo deja pasar y lo invita a tomar café.

    Para ver que conexiones tienes, usa el comando netstat -a y veras quienes están a tu lado.
    En la PC de casa recibo intentos y pings cada 15 segundos...
    Si tienes una empresa que proteger, instala el IDS llamado SNORT, pero si es para tu casa y no guardas información confidencial, pues conformate con el firewall, que a mi todavía me protege, y muy bien.
    Que la fuerza te acompañe...jeje
    salu2
    La inspiracion es una impredecible puta. Usualmente ella me besa cuando nadie mas quiere hacerlo.
    Citar  
     

  6. #6  
    Iniciado
    Fecha de ingreso
    Nov 2005
    Mensajes
    4
    Descargas
    0
    Uploads
    0
    Le agradesco a todos por sus respuestas, todo fue muy ilustrativo y bueno aparentemente solo estoy siendo paranoico

    saludos...
    Citar  
     

Marcadores

Marcadores