-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-04-15 a las 00:18 +0200, escribí:
Si no, ¿porqué me llegaban estas basuras por el modem?
Feb 9 15:57:23 nimrodel kernel: SFW2-INext-DROP-DEFLT IN=ppp0 OUT= MAC= SRC=81.41.174.156 DST=81.41.199.21 LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=60903 DF PROTO=TCP SPT=2360 DPT=445 WINDOW=8760 RES=0x00 SYN URGP=0 OPT (020405B401010402)
Sí, se trata de "bots" o "equipos zombies" esperando a que te conectes... y que además de conectarte tengas algún bug explotable, algún directorio compartido sin contraseña, etc.
Y el windos los tiene por docenas, y más si está sin actualizar. Habí uno que llamaban no se que del agujero... se me ha olvidado el nombre.
Mira, apago y enciendo el modem, y apenas ha terminado de levantarse, observa lo que veo en su log (es linux): (son logs seguidos, las lineas en blanco las he puesto por claridad) Apr 15 12:02:02 router syslog: insmod -s -k cls_fw Apr 15 12:02:02 router syslog: tc filter add dev ppp_8_32_1 parent 1:0 prio 8 protocol ip handle 2 fw flowid 1:2 Apr 15 12:02:02 router syslog: tc filter add dev ppp_8_32_1 parent 1:0 prio 8 protocol ip handle 1 fw flowid 1:3 Apr 15 12:02:09 router klogd: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=83.57.160.38 DST=83.57.160.92 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=1498 DF PROTO=TCP SPT=1174 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0 Apr 15 12:02:10 router klogd: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=83.57.160.38 DST=83.57.160.92 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=1568 DF PROTO=TCP SPT=1175 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0 Apr 15 12:02:12 router klogd: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=83.57.160.38 DST=83.57.160.92 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=1683 DF PROTO=TCP SPT=1174 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0 Apr 15 12:02:13 router klogd: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=83.57.160.38 DST=83.57.160.92 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=1739 DF PROTO=TCP SPT=1175 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0 Apr 15 12:02:18 router klogd: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=83.57.160.38 DST=83.57.160.92 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=2017 DF PROTO=TCP SPT=1174 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0 Dos veces la misma IP (que está en mi misma subred esta vez) prueba los puertos 445 y 139, correspondientes a los servicios: microsoft-ds (Microsoft-DS) y netbios-ssn (NETBIOS Session Service). Claramente están buscando a ver si soy un windows. ¿Como rayos se ha enterado tan pronto de que me he conectado? Son 7 segundos escasos, 10 si contamos desde que recibo la IP: Apr 15 12:01:59 router pppd[331]: Received valid IP address from server. Connection UP. ... Apr 15 12:02:02 router syslog: tc filter add dev ppp_8_32_1 parent 1:0 prio 8 protocol ip handle 1 fw flowid 1:3 ... Apr 15 12:02:09 router klogd: Intrusion -> IN=ppp_8_32_1 OUT= MAC= Tengo una idea... voy a hacer un grep por "Intrusion". [...] Es curioso: Apr 15 07:39:47 router syslog: iptables -A FORWARD -i ppp_8_32_1 -p tcp - --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="I Apr 15 07:40:05 router klogd: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=83.45.36.27 DST=83.45.247.230 LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=12018 PROTO=TCP SPT=27145 DPT=445 WINDOW=64240 RES=0x00 SYN URGP=0 Apr 15 07:27:09 router syslog: iptables -A FORWARD -i ppp_8_32_1 -p tcp - --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="I Apr 15 07:27:41 router klogd: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=83.57.93.55 DST=83.57.166.155 LEN=48 TOS=0x00 PREC=0x00 TTL=123 ID=49716 DF PROTO=TCP SPT=3122 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0 Apr 14 22:38:30 router syslog: iptables -A FORWARD -i ppp_8_32_1 -p tcp - --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="I Apr 14 22:38:48 router klogd: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=83.31.141.49 DST=83.57.163.87 LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=9732 DF PROTO=TCP SPT=2287 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0 Apr 14 17:58:23 router syslog: iptables -A FORWARD -i ppp_8_32_1 -p tcp - --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="I Apr 14 17:58:33 router klogd: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=88.9.197.107 DST=88.9.225.129 LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=14782 DF PROTO=TCP SPT=2534 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0 Son dos lineas de cada; la de "iptables" me marca cada vez que la conexión se levanta (porque se ha caído las más de las veces); la siguiente es la primera intrusión, a menudo antes de los 15 segundos. Estaba pensando que eran siempre en la misma subred, pero no es así siempre (se ve con host, alguno viene de otro pais). ¿Curioso, no? Debe ser coincidencia estadística, cientos de máquinas buscando víctimas al azar. Los ordenadores son pacientes y no se aburren... - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFEQMyttTMYHG2NR9URAvUVAKCNtUoELfpWf0Zs16t7oVHhzgZLkwCfWpxd /CcE989YuEz1HPHhvzmWMsA= =FURZ -----END PGP SIGNATURE-----