El 23/12/05, Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2005-12-22 a las 23:26 -0500, luis escribió:
Hola a todos,
Si estoy, no se por qué rebota. Ya le comentaba a Carlos algo sobre esos rebote. Incluso solicité al servidor esos mensajes perdidos.
A ver, es imposible. Te lo comento en público en la esperanza de que lo puedas leer de algún modo ignoto.
Por un lado, el servidor pri.onat.gov.cu dice que no existes (usuario desconocido), por lo que no puedes recibir correo, ni de la lista ni nuestro. Puedes enviar, pero no recibir.
Por otro lado, en privado me has pasado otra cuenta, pero tampoco te puedo enviar; dice:
host *.edu.cu[...10] said: 450
: Helo command rejected: Host not found (in reply to RCPT TO command)) O sea, está rechazando el nombre de mi PC, que desde luego no tiene entrada DNS. Esto es posible, pero no es habitual, porque bloquea a los servidores de envio que estén detras de un router porque el de recibo es otro distinto, por ejemplo. En fin, es posible que pueda enviarte temporalmente si desactivo mi postfix localmente, pero es una verdadera gaita que no voy a explicar ahora el porqué.
Pero hay más: esa máquina ha intentado "hackearme", según el snort:
que gran colega encontraste !!! intentas ayudarlo y asi retribuí (intentando crackearte) !!!! hhehehehe
Dec 23 21:33:19 nimrodel snort: [122:3:0] (portscan) TCP Portsweep {RAW} 81.?..?251 -> 200.?.?.10
Con un grep en el log del cortafuegos lo veo:
Dec 23 21:33:10 nimrodel kernel: SFW2-INext-DROP-DEFLT IN=ppp0 OUT= MAC= SRC=200.??.??.10 DST=81.??.??.251 LEN=40 TOS=0x00 PREC=0x00 TTL=44 ID=0 DF PROTO=TCP SPT=25 DPT=25455 WINDOW=0 RES=0x00 ACK RST URGP=0 Dec 23 21:33:12 ... SPT=25 DPT=25454 Dec 23 21:33:23 ... SPT=25 DPT=25456
Ha escaneado, aparentemente, mis puertos 25454 al 25456 (que yo vea), desde el puerto 25 que es del smtp. ¿Que rayos intentan?
[**] (portscan) TCP Portsweep [**] 12/23-21:33:19.431774 81.??.??.251 -> 200.??.??.10 RAW TTL:0 TOS:0x0 ID:0 IpLen:20 DgmLen:165 DF 50 72 69 6F 72 69 74 79 20 43 6F 75 6E 74 3A 20 Priority Count: 35 0A 43 6F 6E 6E 65 63 74 69 6F 6E 20 43 6F 75 5.Connection Cou 6E 74 3A 20 31 30 0A 49 50 20 43 6F 75 6E 74 3A nt: 10.IP Count: 20 31 30 0A 53 63 61 6E 6E 65 64 20 49 50 20 52 10.Scanned IP R 61 6E 67 65 3A 20 32 30 30 2E 35 35 2E 31 34 33 ange: 200.??.?? 2E 31 30 3A 38 31 2E 34 31 2E 32 30 30 2E 32 35 .10:81.??.??.25 31 0A 50 6F 72 74 2F 50 72 6F 74 6F 20 43 6F 75 1.Port/Proto Cou 6E 74 3A 20 39 0A 50 6F 72 74 2F 50 72 6F 74 6F nt: 9.Port/Proto 20 52 61 6E 67 65 3A 20 32 35 3A 32 38 38 39 32 Range: 25:28892 0A .
De todas formas, el log del snort es raro. Mi IP local era 81.??.??.251, y el log del snort dice "81.??.??.251 -> 200.??.??.10", como si fuera mi IP la que estuviera haciendo el scan. Pero eso no coincide con lo que dice el del firewall, y del cual me fio más:
SRC=200.??.?.10 DST=81.??.??.251
claro que coinciden: se te fijas bien en el registro del cortafuegos veras que tambien hay los parámetros: "PROTO=TCP SPT=25 DPT=25455 " o sea... se juntamos todo, tendremos: PROTO=TCP SRC=200.??.?.10 SPT=25 DST=81.??.??.251 DPT=25455 fijando en los flags "ACK RST " que tiene el packete podria considerar que "talvez" este sea mas una respuesta de la maquina de el a la vuestra !!!! o sea, el paquete se origino en vuestra maquina en los puertos 25455, llego a la maquina de destino en el puerto 25 y este estaba te contestando con un "ACK RST" (puerto cerrado/cortafuegos/servicio abajo) además, caso no fuera lo que menciono arriba, tendrías malo configurado vuestro cortafuegos, ya que estaría dejando entrar paquetes a puertos que estan cerrados y estes están llegando hasta el IDS... la idea es que llegue al IDS, solamente los paquetes que son validos, los demás, deben de ser bloqueados por el cortafuegos (DROP, RESET) del contrario, estaria procesando mucha basura...
Y aparte, si fuera yo el que estuviera escaneando, se supone que el snort no diría nada, ¿no?
esto depende de como lo configuraste... existe unos parámetros $EXTERNAL_NET y $HOME_NET donde vosotros especifica cuales son vuestras redes... se lo hace la reversa o se dejas el $HOME_NET en blanco, se considera vuestra red interna como peligrosas. ;-(
Porque eso me precuparía más todavía, que yo estuviera escaneando, significaría un agujero.
mmm.. tal vez lo que tengas es una configuracion de seguridad muy altas/paranoica !!!! salu2. -- -- Victor Hugo dos Santos Linux Counter #224399