Libertonia || El juanker polaco


Portada · Todo · Software Libre · Desarrolladores · Comunidad · Internet · Tecnología · Meta · Diarios

El juanker polaco
Por Draco departamento lo divertido de internés , Sección Diarios Puesto a las Thu Feb 13th, 2003 at 12:21:38 AM CET

Hace poco me dio por ahí, y decidí activar la opción log_in_vain=YES por pura curiosidad, a ver si veía algún escanéo en tiempo real [1] . Hasta ahora no me había servido de mucho. Sólo veía intentos de acceso hacia puertos no privilegiados, debido a que, por ejemplo le he dado al botón stop del navegador, y he cerrado el socket que se conectaba por HTTP al servidor Web. Pero hoy ha ocurrido algo... (si quieres saber más sigue leyendo). [1]Decir que a eso, uno la característica de blackhole, que dificulta los escanéos ya que los puertos que no tienen nada escuchando, no contestan al SYN TCP con un RST, sino que simplemente no contestan.

Estaba plácidamente leyendo libertonia, cuando de repente veo intentos de acceso a mi puerto 21(ftp) y 23(telnet), ambos cerrados. Esto será mi amigo Alex que está intentando tocarme las narices, pienso. Si embargo la IP no me suena....

$ nslookup IP
x.neoplus.adsl.tpnet.pl

¡Hostias! ¡Un polaco! ¿Y que querrá? Voy a ver que tiene por ahí

$ sudo nmap -sS -O 80.50.xx.xx -p 1-1024
Port State Service
21/tcp open ftp
23/tcp open telnet
79/tcp open finger
80/tcp open http
113/tcp open auth
513/tcp open login
514/tcp open shell
1024/tcp open kdm
Remote operating system guess: Linux 2.1.19 - 2.2.20
Uptime 0.558 days (since Wed Feb 12 09:59:33 2003)

¡Joder! ¡Este sabe menos que yo! ¡hasta el finger tiene abierto! A ver:
$ finger @IP [80.50.xx.xx] Login Name Tty Idle Login Time Office Office Phone
mihai *pts/2 43d Feb 12 19:14 (194.105.0.227)

A ver si es lelo perdido:
login: mihai
password mihai
login denied
Pués no es tan tonto...

Un ratico más haciendo el canelo.... nada más así a primera vista. No he podido ver qué distro ni nada. El ftp y http aunque aparecen como abierto no dejan conectarse. Hasta un talk he intentado hacerle(para preguntarle que quería, nada más :-), pero ya se había desconectado o bien no tiene el talkd corriendo. Bueno, mañana más, que se hace tarde y mañana hay que levantar se pronto, a ver que me cuenta mi amigo mihai mañana...

¿Qué os parece? Es una chorrada, pero se pasa un rato entretenido. Lo mejor son las incógnitas. ¿Cómo ha conseguido mi IP?¿La ha elegido al azar? ¿Qué pretendía?

< Creación ÑUVA: GNU/Linux Valladolid (7 comments) | Aparece KDE-Live (1 comments) >

Enlaces Relacionados

· blackhole
· More on Draco's Diary
· Also by Draco

Menu

· crear cuenta
· FAQ
· búsqueda
· Fuentes de Noticias

Login


Nueva cuenta
Usuario:
Contraseña:

El juanker polaco | 7 comentarios (7 temáticos, editoriales, 0 ocultos)

portsentry (3.00 / 1) (#6)
por neuralgya a las Thu Feb 13th, 2003 at 09:35:33 AM CET
(Información Usuario) http://worldspace.berlios.de

Este tb detecta intentos de intrusión y además, miente al atacante diciendo que tienes puertos abiertos que en realidad no tienes, y tiene la opción de que ante un ataque o escaneo la IP fuente queda banneada desde iptables.

Yo dejo a veces el apache corriendo y detecto bastantes peticiones de alguno gusano tipo nimda o red code, que aprovechas la vulnerabilidades del IIS, es bastante habitual.

Incluso la semana pasada con los del SQL slammer detecte por los logs de iptables algún que otro paquete sospechoso intentanso entrar.

Sin embargo la mayoría de entradas que recibo suele ser mi compañero de piso intentando hacerme alguna putada ;-), tengo que cambiar el password de root me parece.
------------------------------------ No soy adicto a la red, sólo formo parte de ella

Muy interesante (none / 0) (#1)
por suy (suy21.existe-en.lycos.es) a las Thu Feb 13th, 2003 at 01:31:53 AM CET
(Información Usuario) http://lacurva.net/

Muy interesante, si señor. No conocía algunos de esos comandos (nslookup, por ejemplo). Me he reído bastante leyendo. Por cierto, me he perdido, ¿de donde viene lo de "mihai"?

Esto será mi vida, porque es lo único importante en ella.
Y, si fracaso, moriré, porque para mí no existe nada más.
Raistlin Majere

miahi by ridiculum, 2003/02/13 01:57:30 CET (none / 0)
Finger y nslookup by Draco, 2003/02/13 08:11:13 CET (none / 0)

Por gente como esta (none / 0) (#2)
por preage a las Thu Feb 13th, 2003 at 01:40:45 AM CET
(Información Usuario) http://geocities.com/dariapra

... me estoy montando un buen firewall.

¿Tu dirección IP? Al azar, en el sentido de que ese individuo seguramente barra rangos de direcciones IP a ver si puede "entrar" en algún ordenador.

¿Los fines? Eso es algo que sólo quien lo hace lo sabe. Para mí que no son buenos.

cuando de repente veo intentos de acceso a mi puerto 21(ftp) y 23(telnet), ambos cerrados.

¿Sólo has visto eso? Pues poco me parece, a mí eso, pings a saco, RPCs, a puertos de troyanos de Windows los que quieras y...

Muy buenas intenciones... by Draco, 2003/02/13 08:37:03 CET (4.00 / 1)

un día normal.... (none / 0) (#7)
por JulHer a las Thu Feb 13th, 2003 at 01:48:10 PM CET
(Información Usuario)

Esta mañana, como todos los días, Snort me avisa de lo que ha pasado ayer:

The number of attacks from same host to same destination using same method =========================================================================
# of attacks from to method
=========================================================================
152 SCAN nmap TCP
152 SCAN nmap TCP
24 ICMP Destination Unreachable (Communication Administratively Prohibited)
13 WEB-IIS cmd.exe access
13 WEB-IIS cmd.exe access
13 WEB-IIS cmd.exe access
2 ICMP Destination Unreachable (Communication Administratively Prohibited)
1 WEB-IIS ISAPI .ida attempt
1 WEB-FRONTPAGE /_vti_bin/ access
1 WEB-FRONTPAGE /_vti_bin/ access
1 WEB-IIS CodeRed v2 root.exe access
1 WEB-FRONTPAGE /_vti_bin/ access
1 WEB-FRONTPAGE /_vti_bin/ access
1 WEB-FRONTPAGE /_vti_bin/ access
1 WEB-IIS CodeRed v2 root.exe access
1 WEB-IIS CodeRed v2 root.exe access

He eliminado las ip origen y destino, por si alguien se sentía ofendido.

Algún día tengo pensado hacer el experimento de mandar un correo a alguno de esos sistemas, a ver que me dicen...;-)

Un saludo

El juanker polaco | 7 comentarios (7 temáticos, editoriales, 0 ocultos)

Todas las Marcas Registradas y copyrights de esta página son propiedad de sus respectivos dueños.
Los comentarios son propiedad del que los escribe.
Los iconos de las noticias y el logotipo son propiedad de Javier Malonda.
El Resto © 2002 Escomposlinux.org y aledaños.

Puedes sindicar los contenidos de libertonia en formato RSS 1.0 y RDF 0.9. También se puede sindicar la cola de envíos pendientes de moderación.

El proyecto escomposlinux.org está dedicado a la memoria de tas

crear cuenta | faq | búsqueda