Libertonia || El juanker polaco


Portada · Todo · Software Libre · Desarrolladores · Comunidad · Internet · Tecnología · Meta · Diarios

El juanker polaco
Por Draco departamento lo divertido de internés , Sección Diarios Puesto a las Thu Feb 13th, 2003 at 12:21:38 AM CET

Hace poco me dio por ahí, y decidí activar la opción log_in_vain=YES por pura curiosidad, a ver si veía algún escanéo en tiempo real [1] . Hasta ahora no me había servido de mucho. Sólo veía intentos de acceso hacia puertos no privilegiados, debido a que, por ejemplo le he dado al botón stop del navegador, y he cerrado el socket que se conectaba por HTTP al servidor Web. Pero hoy ha ocurrido algo... (si quieres saber más sigue leyendo). [1]Decir que a eso, uno la característica de blackhole, que dificulta los escanéos ya que los puertos que no tienen nada escuchando, no contestan al SYN TCP con un RST, sino que simplemente no contestan.

Estaba plácidamente leyendo libertonia, cuando de repente veo intentos de acceso a mi puerto 21(ftp) y 23(telnet), ambos cerrados. Esto será mi amigo Alex que está intentando tocarme las narices, pienso. Si embargo la IP no me suena....

$ nslookup IP
x.neoplus.adsl.tpnet.pl

¡Hostias! ¡Un polaco! ¿Y que querrá? Voy a ver que tiene por ahí

$ sudo nmap -sS -O 80.50.xx.xx -p 1-1024
Port State Service
21/tcp open ftp
23/tcp open telnet
79/tcp open finger
80/tcp open http
113/tcp open auth
513/tcp open login
514/tcp open shell
1024/tcp open kdm
Remote operating system guess: Linux 2.1.19 - 2.2.20
Uptime 0.558 days (since Wed Feb 12 09:59:33 2003)

¡Joder! ¡Este sabe menos que yo! ¡hasta el finger tiene abierto! A ver:
$ finger @IP [80.50.xx.xx] Login Name Tty Idle Login Time Office Office Phone
mihai *pts/2 43d Feb 12 19:14 (194.105.0.227)

A ver si es lelo perdido:
login: mihai
password mihai
login denied
Pués no es tan tonto...

Un ratico más haciendo el canelo.... nada más así a primera vista. No he podido ver qué distro ni nada. El ftp y http aunque aparecen como abierto no dejan conectarse. Hasta un talk he intentado hacerle(para preguntarle que quería, nada más :-), pero ya se había desconectado o bien no tiene el talkd corriendo. Bueno, mañana más, que se hace tarde y mañana hay que levantar se pronto, a ver que me cuenta mi amigo mihai mañana...

¿Qué os parece? Es una chorrada, pero se pasa un rato entretenido. Lo mejor son las incógnitas. ¿Cómo ha conseguido mi IP?¿La ha elegido al azar? ¿Qué pretendía?

< Creación ÑUVA: GNU/Linux Valladolid (7 comments) | Aparece KDE-Live (1 comments) >

Enlaces Relacionados

· blackhole
· More on Draco's Diary
· Also by Draco

Menu

· crear cuenta
· FAQ
· búsqueda
· Fuentes de Noticias

Login


Nueva cuenta
Usuario:
Contraseña:

El juanker polaco | 7 comentarios (7 temáticos, editoriales, 0 ocultos)

portsentry (3.00 / 1) (#6)
por neuralgya a las Thu Feb 13th, 2003 at 09:35:33 AM CET
(Información Usuario) http://worldspace.berlios.de

Este tb detecta intentos de intrusión y además, miente al atacante diciendo que tienes puertos abiertos que en realidad no tienes, y tiene la opción de que ante un ataque o escaneo la IP fuente queda banneada desde iptables.

Yo dejo a veces el apache corriendo y detecto bastantes peticiones de alguno gusano tipo nimda o red code, que aprovechas la vulnerabilidades del IIS, es bastante habitual.

Incluso la semana pasada con los del SQL slammer detecte por los logs de iptables algún que otro paquete sospechoso intentanso entrar.

Sin embargo la mayoría de entradas que recibo suele ser mi compañero de piso intentando hacerme alguna putada ;-), tengo que cambiar el password de root me parece.
------------------------------------ No soy adicto a la red, sólo formo parte de ella

Muy interesante (none / 0) (#1)
por suy (suy21.existe-en.lycos.es) a las Thu Feb 13th, 2003 at 01:31:53 AM CET
(Información Usuario) http://lacurva.net/

Muy interesante, si señor. No conocía algunos de esos comandos (nslookup, por ejemplo). Me he reído bastante leyendo. Por cierto, me he perdido, ¿de donde viene lo de "mihai"?

Esto será mi vida, porque es lo único importante en ella.
Y, si fracaso, moriré, porque para mí no existe nada más.
Raistlin Majere

miahi (none / 0) (#3)
por ridiculum a las Thu Feb 13th, 2003 at 01:57:30 AM CET
(Información Usuario)

es el nombre del usuario polaco. Lo obtuvo mediante el servicio finger.

[ Padre ]

Finger y nslookup (none / 0) (#4)
por Draco a las Thu Feb 13th, 2003 at 08:11:13 AM CET
(Información Usuario)

El nslookup es para preguntarle a tu servidor de nombres por una IP(o al revés), aunque cada vez se usa más el comando dig.

Luego está lo del finger, que permite obtener información sobre los usuarios de la máquina, principalmente para ver si están conectados y hacerles un talk. Típico servicio de cuando internet era un sitio mucho más apacible. Normalmente se tiene deshabilitado, y si se tiene activo, se quita la posibilidad de hacer @<host> que te da información sobre todos los usuarios de la máquina, de forma que sólo puedes hacer finger a los usuarios que conoces.
There are two major products to come out of Berkeley: LSD & BSD Unix. I don't believe this to be a coincidence.
[ Padre ]

Por gente como esta (none / 0) (#2)
por preage a las Thu Feb 13th, 2003 at 01:40:45 AM CET
(Información Usuario) http://geocities.com/dariapra

... me estoy montando un buen firewall.

¿Tu dirección IP? Al azar, en el sentido de que ese individuo seguramente barra rangos de direcciones IP a ver si puede "entrar" en algún ordenador.

¿Los fines? Eso es algo que sólo quien lo hace lo sabe. Para mí que no son buenos.

cuando de repente veo intentos de acceso a mi puerto 21(ftp) y 23(telnet), ambos cerrados.

¿Sólo has visto eso? Pues poco me parece, a mí eso, pings a saco, RPCs, a puertos de troyanos de Windows los que quieras y...

Muy buenas intenciones... (4.00 / 1) (#5)
por Draco a las Thu Feb 13th, 2003 at 08:37:03 AM CET
(Información Usuario)

...seguro que no llevaba. Sí que he visto alguna vez en los logs escanéos más serios, pero nunca en "tiempo real". Es extrañamente excitante ver en tu xconsole un "interés"(porque no se le puede llamar ni escanéo), y poder responder. Las otras veces los escanéos "de vuelta" habían resultado infructuosos, pero esta vez, o es muy tonto, o es muy, muy , muy listo para parecer tan parecer tan tonto.

De todas formas, no siempre he tenido buenas experiencias con este tipo de cosas. Hace cosa de 3 años, cuando aún usaba Windows por culpa del winmodem tuve una experiencia "extraña". Mi padre trajo un portátil del trabajo y los conecto vía línea serie. El caso es que puso a compartir los discos duros sin contraseña (parece que le echo la culpa a él, pero conectándonos por módem no creí que fuese un problema)... Unos días después me puse a bajar algo "grande" de internet. Al par de horas me siento delante del ordenador y veo un fichero en el escritorio que yo no había puesto ahí... Afortunadamente sólo me avisaban de que tenía esa vulnerabilidad y que debía corregirlo (no recuerdo que grupo de hackers era). Desde entonces me he vuelto un poco (no demasiado) paranoico.
There are two major products to come out of Berkeley: LSD & BSD Unix. I don't believe this to be a coincidence.
[ Padre ]

un día normal.... (none / 0) (#7)
por JulHer a las Thu Feb 13th, 2003 at 01:48:10 PM CET
(Información Usuario)

Esta mañana, como todos los días, Snort me avisa de lo que ha pasado ayer:

The number of attacks from same host to same destination using same method =========================================================================
# of attacks from to method
=========================================================================
152 SCAN nmap TCP
152 SCAN nmap TCP
24 ICMP Destination Unreachable (Communication Administratively Prohibited)
13 WEB-IIS cmd.exe access
13 WEB-IIS cmd.exe access
13 WEB-IIS cmd.exe access
2 ICMP Destination Unreachable (Communication Administratively Prohibited)
1 WEB-IIS ISAPI .ida attempt
1 WEB-FRONTPAGE /_vti_bin/ access
1 WEB-FRONTPAGE /_vti_bin/ access
1 WEB-IIS CodeRed v2 root.exe access
1 WEB-FRONTPAGE /_vti_bin/ access
1 WEB-FRONTPAGE /_vti_bin/ access
1 WEB-FRONTPAGE /_vti_bin/ access
1 WEB-IIS CodeRed v2 root.exe access
1 WEB-IIS CodeRed v2 root.exe access

He eliminado las ip origen y destino, por si alguien se sentía ofendido.

Algún día tengo pensado hacer el experimento de mandar un correo a alguno de esos sistemas, a ver que me dicen...;-)

Un saludo

El juanker polaco | 7 comentarios (7 temáticos, editoriales, 0 ocultos)

Todas las Marcas Registradas y copyrights de esta página son propiedad de sus respectivos dueños.
Los comentarios son propiedad del que los escribe.
Los iconos de las noticias y el logotipo son propiedad de Javier Malonda.
El Resto © 2002 Escomposlinux.org y aledaños.

Puedes sindicar los contenidos de libertonia en formato RSS 1.0 y RDF 0.9. También se puede sindicar la cola de envíos pendientes de moderación.

El proyecto escomposlinux.org está dedicado a la memoria de tas

crear cuenta | faq | búsqueda