SPAM: OT - Lista de Inteligencia Artificial en español
Hola amigos, Necesito que alguien me sugiera alguna lista de Inteligencia Artificial que sea para hispanohablantes. Saludos, Luis Esteban de Dios Núñez
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2005-12-12 a las 15:40 -0500, luis escribió:
Necesito que alguien me sugiera alguna lista de Inteligencia Artificial que sea para hispanohablantes.
He intentado responderte en privado, pero rebota. ¿Sigues ahí? ----- Transcript of session follows ----- ... while talking to uucp.ceniai.inf.cu.:
DATA <<< 550 5.7.1
... Relaying denied 550 5.1.1 ... User unknown <<< 503 5.0.0 Need RCPT (recipient)
[ Part 2: "Delivery Status" ]
Reporting-MTA: dns; mail1.ceniai.inf.cu
Arrival-Date: Wed, 21 Dec 2005 10:22:03 GMT
Final-Recipient: RFC822; luis@pri.....
Action: failed
Status: 5.7.1
Remote-MTA: DNS; uucp......
Diagnostic-Code: SMTP; 550 5.7.1
El Miércoles, 21 de Diciembre de 2005 10:29, Carlos E. R. escribió:
El 2005-12-12 a las 15:40 -0500, luis escribió:
Necesito que alguien me sugiera alguna lista de Inteligencia Artificial que sea para hispanohablantes.
He intentado responderte en privado, pero rebota. ¿Sigues ahí?
Lo mismo digo...
----- Transcript of session follows -----
... while talking to uucp.ceniai.inf.cu.:
DATA
<<< 550 5.7.1
... Relaying denied 550 5.1.1 ... User unknown <<< 503 5.0.0 Need RCPT (recipient) [ Part 2: "Delivery Status" ]
Reporting-MTA: dns; mail1.ceniai.inf.cu Arrival-Date: Wed, 21 Dec 2005 10:22:03 GMT
Final-Recipient: RFC822; luis@pri..... Action: failed Status: 5.7.1 Remote-MTA: DNS; uucp...... Diagnostic-Code: SMTP; 550 5.7.1
... Relaying denied Last-Attempt-Date: Wed, 21 Dec 2005 10:22:04 GMT
-- <*******> HACKER Persona que disfruta del reto intelectual de superar o rodear las limitaciones de forma creativa... El resto es simple delincuencia. <*******> ************************ Hugo Sandoval Consultor www.softwarelibre.com.ve www.virtualnet.com.ve ************************
Hola a todos,
Si estoy, no se por qué rebota. Ya le comentaba a Carlos algo sobre esos
rebote. Incluso solicité al servidor esos mensajes perdidos.
Por favor, vuelvan a responderme recomendándome qué hacer.
Un saludo,
Luis Esteban
----- Original Message -----
From: "Hugo Sandoval"
El Miércoles, 21 de Diciembre de 2005 10:29, Carlos E. R. escribió:
El 2005-12-12 a las 15:40 -0500, luis escribió:
Necesito que alguien me sugiera alguna lista de Inteligencia Artificial que sea para hispanohablantes.
He intentado responderte en privado, pero rebota. ¿Sigues ahí?
Lo mismo digo...
----- Transcript of session follows -----
... while talking to uucp.ceniai.inf.cu.:
DATA
<<< 550 5.7.1
... Relaying denied 550 5.1.1 ... User unknown <<< 503 5.0.0 Need RCPT (recipient) [ Part 2: "Delivery Status" ]
Reporting-MTA: dns; mail1.ceniai.inf.cu Arrival-Date: Wed, 21 Dec 2005 10:22:03 GMT
Final-Recipient: RFC822; luis@pri..... Action: failed Status: 5.7.1 Remote-MTA: DNS; uucp...... Diagnostic-Code: SMTP; 550 5.7.1
... Relaying denied Last-Attempt-Date: Wed, 21 Dec 2005 10:22:04 GMT -- <*******> HACKER Persona que disfruta del reto intelectual de superar o rodear las limitaciones de forma creativa... El resto es simple delincuencia. <*******>
************************ Hugo Sandoval Consultor www.softwarelibre.com.ve www.virtualnet.com.ve ************************
-- Para dar de baja la suscripcin, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2005-12-22 a las 23:26 -0500, luis escribió:
Si estoy, no se por qué rebota.
Dice que no existes: ... while talking to uucp.ceniai.inf.cu.:
DATA <<< 550 5.7.1 <luis en pri.onat.gov.cu>... Relaying denied 550 5.1.1 <luis en pri.onat.gov.cu>... User unknown <<< 503 5.0.0 Need RCPT (recipient)
Por favor, vuelvan a responderme recomendándome qué hacer.
Ya lo hice anoche y me volvió a rebotar. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFDrBwetTMYHG2NR9URAtwKAJ9dFCIkpcLnp5YkSgvBzC9UBlFQpACfXJM4 gDSc1eD+YQlRjS+t0M07YvU= =6K4u -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2005-12-22 a las 23:26 -0500, luis escribió:
Hola a todos,
Si estoy, no se por qué rebota. Ya le comentaba a Carlos algo sobre esos rebote. Incluso solicité al servidor esos mensajes perdidos.
A ver, es imposible. Te lo comento en público en la esperanza de que lo
puedas leer de algún modo ignoto.
Por un lado, el servidor pri.onat.gov.cu dice que no existes (usuario
desconocido), por lo que no puedes recibir correo, ni de la lista ni
nuestro. Puedes enviar, pero no recibir.
Por otro lado, en privado me has pasado otra cuenta, pero tampoco te puedo
enviar; dice:
host *.edu.cu[...10] said: 450
Hola Carlos...
Eso es lo que no entiendo. Algunos mensajes me llegan y otros(los más) no me
llegan. Me da que pensar del admin de mi sistema acá si es que tuvieran que
ver con esto.
Por ejemplo, ahora me entraron 19 correos de la lista.
Por eso es que quiero usar también mi otra cuenta, la que te envié para
comparar la cantidad de correos que recibo. Lo que me comentas sobre esta
otra cuenta ¿pudiera ser que no tiene salida internacional?. Necesito
corroborar eso para quejarme al admin.
Saludos,
Luis Esteban
----- Original Message -----
From: "Carlos E. R."
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2005-12-22 a las 23:26 -0500, luis escribió:
Hola a todos,
Si estoy, no se por qué rebota. Ya le comentaba a Carlos algo sobre esos rebote. Incluso solicité al servidor esos mensajes perdidos.
A ver, es imposible. Te lo comento en público en la esperanza de que lo puedas leer de algún modo ignoto.
Por un lado, el servidor pri.onat.gov.cu dice que no existes (usuario desconocido), por lo que no puedes recibir correo, ni de la lista ni nuestro. Puedes enviar, pero no recibir.
Por otro lado, en privado me has pasado otra cuenta, pero tampoco te puedo enviar; dice:
host *.edu.cu[...10] said: 450
: Helo command rejected: Host not found (in reply to RCPT TO command)) O sea, está rechazando el nombre de mi PC, que desde luego no tiene entrada DNS. Esto es posible, pero no es habitual, porque bloquea a los servidores de envio que estén detras de un router porque el de recibo es otro distinto, por ejemplo. En fin, es posible que pueda enviarte temporalmente si desactivo mi postfix localmente, pero es una verdadera gaita que no voy a explicar ahora el porqué.
Pero hay más: esa máquina ha intentado "hackearme", según el snort:
Dec 23 21:33:19 nimrodel snort: [122:3:0] (portscan) TCP Portsweep {RAW} 81.?..?251 -> 200.?.?.10
Con un grep en el log del cortafuegos lo veo:
Dec 23 21:33:10 nimrodel kernel: SFW2-INext-DROP-DEFLT IN=ppp0 OUT= MAC= SRC=200.??.??.10 DST=81.??.??.251 LEN=40 TOS=0x00 PREC=0x00 TTL=44 ID=0 DF PROTO=TCP SPT=25 DPT=25455 WINDOW=0 RES=0x00 ACK RST URGP=0 Dec 23 21:33:12 ... SPT=25 DPT=25454 Dec 23 21:33:23 ... SPT=25 DPT=25456
Ha escaneado, aparentemente, mis puertos 25454 al 25456 (que yo vea), desde el puerto 25 que es del smtp. ¿Que rayos intentan?
[**] (portscan) TCP Portsweep [**] 12/23-21:33:19.431774 81.??.??.251 -> 200.??.??.10 RAW TTL:0 TOS:0x0 ID:0 IpLen:20 DgmLen:165 DF 50 72 69 6F 72 69 74 79 20 43 6F 75 6E 74 3A 20 Priority Count: 35 0A 43 6F 6E 6E 65 63 74 69 6F 6E 20 43 6F 75 5.Connection Cou 6E 74 3A 20 31 30 0A 49 50 20 43 6F 75 6E 74 3A nt: 10.IP Count: 20 31 30 0A 53 63 61 6E 6E 65 64 20 49 50 20 52 10.Scanned IP R 61 6E 67 65 3A 20 32 30 30 2E 35 35 2E 31 34 33 ange: 200.??.?? 2E 31 30 3A 38 31 2E 34 31 2E 32 30 30 2E 32 35 .10:81.??.??.25 31 0A 50 6F 72 74 2F 50 72 6F 74 6F 20 43 6F 75 1.Port/Proto Cou 6E 74 3A 20 39 0A 50 6F 72 74 2F 50 72 6F 74 6F nt: 9.Port/Proto 20 52 61 6E 67 65 3A 20 32 35 3A 32 38 38 39 32 Range: 25:28892 0A .
De todas formas, el log del snort es raro. Mi IP local era 81.??.??.251, y el log del snort dice "81.??.??.251 -> 200.??.??.10", como si fuera mi IP la que estuviera haciendo el scan. Pero eso no coincide con lo que dice el del firewall, y del cual me fio más:
SRC=200.??.?.10 DST=81.??.??.251
Y aparte, si fuera yo el que estuviera escaneando, se supone que el snort no diría nada, ¿no? Porque eso me precuparía más todavía, que yo estuviera escaneando, significaría un agujero.
- -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76
iD8DBQFDrJWJtTMYHG2NR9URAmMVAJ4gB9WQYH3a9njNTexugwBxnJlXHACfSnMS ruMhYz90RjWYMBlMqmaAzsI= =i/9d -----END PGP SIGNATURE-----
---------------------------------------------------------------------------- ----
-- Para dar de baja la suscripcisn, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2005-12-24 a las 02:55 -0500, luis escribió:
Eso es lo que no entiendo. Algunos mensajes me llegan y otros(los más) no me llegan. Me da que pensar del admin de mi sistema acá si es que tuvieran que ver con esto.
¡Claro que tiene que ver! Es responsabilidad suya tener bien configurado su servidor y que no rechace los correos destinados a sus usuarios.
Por ejemplo, ahora me entraron 19 correos de la lista.
Por eso es que quiero usar también mi otra cuenta, la que te envié para comparar la cantidad de correos que recibo. Lo que me comentas sobre esta otra cuenta ¿pudiera ser que no tiene salida internacional?. Necesito corroborar eso para quejarme al admin.
Salida, tiene. Entrada es la problemática, es demasiado restrictiva, yo no te puedo enviar correo directo. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFDr+MztTMYHG2NR9URAlPCAJ9mcGau0LMJdItVfTpQA8KcN3xIDgCfXzoE HmV2U3dCtK+o8OBTfQDdN3w= =PQVs -----END PGP SIGNATURE-----
El 23/12/05, Carlos E. R.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2005-12-22 a las 23:26 -0500, luis escribió:
Hola a todos,
Si estoy, no se por qué rebota. Ya le comentaba a Carlos algo sobre esos rebote. Incluso solicité al servidor esos mensajes perdidos.
A ver, es imposible. Te lo comento en público en la esperanza de que lo puedas leer de algún modo ignoto.
Por un lado, el servidor pri.onat.gov.cu dice que no existes (usuario desconocido), por lo que no puedes recibir correo, ni de la lista ni nuestro. Puedes enviar, pero no recibir.
Por otro lado, en privado me has pasado otra cuenta, pero tampoco te puedo enviar; dice:
host *.edu.cu[...10] said: 450
: Helo command rejected: Host not found (in reply to RCPT TO command)) O sea, está rechazando el nombre de mi PC, que desde luego no tiene entrada DNS. Esto es posible, pero no es habitual, porque bloquea a los servidores de envio que estén detras de un router porque el de recibo es otro distinto, por ejemplo. En fin, es posible que pueda enviarte temporalmente si desactivo mi postfix localmente, pero es una verdadera gaita que no voy a explicar ahora el porqué.
Pero hay más: esa máquina ha intentado "hackearme", según el snort:
que gran colega encontraste !!! intentas ayudarlo y asi retribuí (intentando crackearte) !!!! hhehehehe
Dec 23 21:33:19 nimrodel snort: [122:3:0] (portscan) TCP Portsweep {RAW} 81.?..?251 -> 200.?.?.10
Con un grep en el log del cortafuegos lo veo:
Dec 23 21:33:10 nimrodel kernel: SFW2-INext-DROP-DEFLT IN=ppp0 OUT= MAC= SRC=200.??.??.10 DST=81.??.??.251 LEN=40 TOS=0x00 PREC=0x00 TTL=44 ID=0 DF PROTO=TCP SPT=25 DPT=25455 WINDOW=0 RES=0x00 ACK RST URGP=0 Dec 23 21:33:12 ... SPT=25 DPT=25454 Dec 23 21:33:23 ... SPT=25 DPT=25456
Ha escaneado, aparentemente, mis puertos 25454 al 25456 (que yo vea), desde el puerto 25 que es del smtp. ¿Que rayos intentan?
[**] (portscan) TCP Portsweep [**] 12/23-21:33:19.431774 81.??.??.251 -> 200.??.??.10 RAW TTL:0 TOS:0x0 ID:0 IpLen:20 DgmLen:165 DF 50 72 69 6F 72 69 74 79 20 43 6F 75 6E 74 3A 20 Priority Count: 35 0A 43 6F 6E 6E 65 63 74 69 6F 6E 20 43 6F 75 5.Connection Cou 6E 74 3A 20 31 30 0A 49 50 20 43 6F 75 6E 74 3A nt: 10.IP Count: 20 31 30 0A 53 63 61 6E 6E 65 64 20 49 50 20 52 10.Scanned IP R 61 6E 67 65 3A 20 32 30 30 2E 35 35 2E 31 34 33 ange: 200.??.?? 2E 31 30 3A 38 31 2E 34 31 2E 32 30 30 2E 32 35 .10:81.??.??.25 31 0A 50 6F 72 74 2F 50 72 6F 74 6F 20 43 6F 75 1.Port/Proto Cou 6E 74 3A 20 39 0A 50 6F 72 74 2F 50 72 6F 74 6F nt: 9.Port/Proto 20 52 61 6E 67 65 3A 20 32 35 3A 32 38 38 39 32 Range: 25:28892 0A .
De todas formas, el log del snort es raro. Mi IP local era 81.??.??.251, y el log del snort dice "81.??.??.251 -> 200.??.??.10", como si fuera mi IP la que estuviera haciendo el scan. Pero eso no coincide con lo que dice el del firewall, y del cual me fio más:
SRC=200.??.?.10 DST=81.??.??.251
claro que coinciden: se te fijas bien en el registro del cortafuegos veras que tambien hay los parámetros: "PROTO=TCP SPT=25 DPT=25455 " o sea... se juntamos todo, tendremos: PROTO=TCP SRC=200.??.?.10 SPT=25 DST=81.??.??.251 DPT=25455 fijando en los flags "ACK RST " que tiene el packete podria considerar que "talvez" este sea mas una respuesta de la maquina de el a la vuestra !!!! o sea, el paquete se origino en vuestra maquina en los puertos 25455, llego a la maquina de destino en el puerto 25 y este estaba te contestando con un "ACK RST" (puerto cerrado/cortafuegos/servicio abajo) además, caso no fuera lo que menciono arriba, tendrías malo configurado vuestro cortafuegos, ya que estaría dejando entrar paquetes a puertos que estan cerrados y estes están llegando hasta el IDS... la idea es que llegue al IDS, solamente los paquetes que son validos, los demás, deben de ser bloqueados por el cortafuegos (DROP, RESET) del contrario, estaria procesando mucha basura...
Y aparte, si fuera yo el que estuviera escaneando, se supone que el snort no diría nada, ¿no?
esto depende de como lo configuraste... existe unos parámetros $EXTERNAL_NET y $HOME_NET donde vosotros especifica cuales son vuestras redes... se lo hace la reversa o se dejas el $HOME_NET en blanco, se considera vuestra red interna como peligrosas. ;-(
Porque eso me precuparía más todavía, que yo estuviera escaneando, significaría un agujero.
mmm.. tal vez lo que tengas es una configuracion de seguridad muy altas/paranoica !!!! salu2. -- -- Victor Hugo dos Santos Linux Counter #224399
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2005-12-25 a las 20:47 -0300, Victor Hugo dos Santos escribió:
Por otro lado, en privado me has pasado otra cuenta, pero tampoco te puedo enviar; dice:
host *.edu.cu[...10] said: 450
: Helo command rejected: Host not found (in reply to RCPT TO command))
...
Pero hay más: esa máquina ha intentado "hackearme", según el snort:
que gran colega encontraste !!! intentas ayudarlo y asi retribuí (intentando crackearte) !!!! hhehehehe
No es él, es un servidor de la universidad.
Dec 23 21:33:19 nimrodel snort: [122:3:0] (portscan) TCP Portsweep {RAW} 81.?..?251 -> 200.?.?.10
Con un grep en el log del cortafuegos lo veo:
Dec 23 21:33:10 nimrodel kernel: SFW2-INext-DROP-DEFLT IN=ppp0 OUT= MAC= SRC=200.??.??.10 DST=81.??.??.251 LEN=40 TOS=0x00 PREC=0x00 TTL=44 ID=0 DF PROTO=TCP SPT=25 DPT=25455 WINDOW=0 RES=0x00 ACK RST URGP=0 Dec 23 21:33:12 ... SPT=25 DPT=25454 Dec 23 21:33:23 ... SPT=25 DPT=25456
Ha escaneado, aparentemente, mis puertos 25454 al 25456 (que yo vea), desde el puerto 25 que es del smtp. ¿Que rayos intentan?
[**] (portscan) TCP Portsweep [**] 12/23-21:33:19.431774 81.??.??.251 -> 200.??.??.10 RAW TTL:0 TOS:0x0 ID:0 IpLen:20 DgmLen:165 DF 50 72 69 6F 72 69 74 79 20 43 6F 75 6E 74 3A 20 Priority Count: 35 0A 43 6F 6E 6E 65 63 74 69 6F 6E 20 43 6F 75 5.Connection Cou 6E 74 3A 20 31 30 0A 49 50 20 43 6F 75 6E 74 3A nt: 10.IP Count: 20 31 30 0A 53 63 61 6E 6E 65 64 20 49 50 20 52 10.Scanned IP R 61 6E 67 65 3A 20 32 30 30 2E 35 35 2E 31 34 33 ange: 200.??.?? 2E 31 30 3A 38 31 2E 34 31 2E 32 30 30 2E 32 35 .10:81.??.??.25 31 0A 50 6F 72 74 2F 50 72 6F 74 6F 20 43 6F 75 1.Port/Proto Cou 6E 74 3A 20 39 0A 50 6F 72 74 2F 50 72 6F 74 6F nt: 9.Port/Proto 20 52 61 6E 67 65 3A 20 32 35 3A 32 38 38 39 32 Range: 25:28892 0A .
De todas formas, el log del snort es raro. Mi IP local era 81.??.??.251, y el log del snort dice "81.??.??.251 -> 200.??.??.10", como si fuera mi IP la que estuviera haciendo el scan. Pero eso no coincide con lo que dice el del firewall, y del cual me fio más:
SRC=200.??.?.10 DST=81.??.??.251
claro que coinciden: se te fijas bien en el registro del cortafuegos veras que tambien hay los parámetros:
"PROTO=TCP SPT=25 DPT=25455 "
o sea... se juntamos todo, tendremos:
PROTO=TCP SRC=200.??.?.10 SPT=25 DST=81.??.??.251 DPT=25455
Claro, desde el puerto 25 de la maquina remota está intentando entrar a mi puerto 25455, y el cortafuegos lo bloquea; y lo intenta en tres puertos correlativos. En cambio el snort pone: 81.?..?251 -> 200.?.?.10 que parece significar que es mi IP la que está escaneando a la remota, según la dirección de la flecha, cuando es al revés.
fijando en los flags "ACK RST " que tiene el packete podria considerar que "talvez" este sea mas una respuesta de la maquina de el a la vuestra !!!!
Si, lo pensé.
o sea, el paquete se origino en vuestra maquina en los puertos 25455, llego a la maquina de destino en el puerto 25 y este estaba te contestando con un "ACK RST" (puerto cerrado/cortafuegos/servicio abajo)
Pero vamos a ver, si es una respuesta a un intento de conexión mia, mi cortafuegos lo sabe, y tiene abierto el puerto de entrada alto para ese intento de conexión. La máquina remota está respondiendo en un puerto distinto del que el que mi maquina le mantiene abierto. Lo único que se me ocurre es que esté reseteando la conexión fuera de plazo. Son dos piezas distintas de software las que reportan un problema, el cortafuegos y el snort.
además, caso no fuera lo que menciono arriba, tendrías malo configurado vuestro cortafuegos, ya que estaría dejando entrar paquetes a puertos que estan cerrados y estes están llegando hasta el IDS... la idea es que llegue al IDS, solamente los paquetes que son validos, los demás, deben de ser bloqueados por el cortafuegos (DROP, RESET) del contrario, estaria procesando mucha basura...
No, el cortafuegos está bien, el snort puede ver más allá, ya lo he comprobado otras veces. Se ve muy bien si intento hacerme un mapeo desde otra máquina, el cortafuegos lo detiene, pero el snort se da cuenta.
Y aparte, si fuera yo el que estuviera escaneando, se supone que el snort no diría nada, ¿no?
esto depende de como lo configuraste... existe unos parámetros $EXTERNAL_NET y $HOME_NET donde vosotros especifica cuales son vuestras redes... se lo hace la reversa o se dejas el $HOME_NET en blanco, se considera vuestra red interna como peligrosas. ;-(
var HOME_NET $ppp0_ADDRESS var EXTERNAL_NET $ppp0_ADDRESS Si, hay un error. Y lo gracioso es que eso ya lo corregí en tiempos :-( Pero no estoy seguro del efecto de ese error, probablemente ninguno. Lo he cambiado a: var HOME_NET $eth0_ADDRESS
Porque eso me precuparía más todavía, que yo estuviera escaneando, significaría un agujero.
mmm.. tal vez lo que tengas es una configuracion de seguridad muy altas/paranoica !!!!
No... el snort está casi por defecto. Lo unico que le he cambiado es a donde manda los logs, que para experimentar lo puse al mysql, y es una lata para descifrar. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFDr+JwtTMYHG2NR9URAmR/AJ9XIWTozMlY64bvuPhtLdjfyiXUmgCfYsMd epO4Etf+1d6I6tIQhOVyRbk= =4zbL -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2005-12-25 a las 20:47 -0300, Victor Hugo dos Santos escribió:
Por otro lado, en privado me has pasado otra cuenta, pero tampoco te
Hola Carlos,
No entiendo nada de lo que están hablando.
Uds son hacker, yo quisiera ser un buen hacker.
Saludos,
Luis
----- Original Message -----
From: "Carlos E. R."
enviar; dice:
host *.edu.cu[...10] said: 450
: Helo command rejected: Host not found (in reply to RCPT TO command)) ...
Pero hay más: esa máquina ha intentado "hackearme", según el snort:
que gran colega encontraste !!! intentas ayudarlo y asi retribuí (intentando crackearte) !!!! hhehehehe
No es él, es un servidor de la universidad.
Dec 23 21:33:19 nimrodel snort: [122:3:0] (portscan) TCP Portsweep {RAW} 81.?..?251 -> 200.?.?.10
Con un grep en el log del cortafuegos lo veo:
Dec 23 21:33:10 nimrodel kernel: SFW2-INext-DROP-DEFLT IN=ppp0 OUT= MAC= SRC=200.??.??.10 DST=81.??.??.251 LEN=40 TOS=0x00 PREC=0x00 TTL=44 ID=0 DF PROTO=TCP SPT=25 DPT=25455 WINDOW=0 RES=0x00 ACK RST URGP=0 Dec 23 21:33:12 ... SPT=25 DPT=25454 Dec 23 21:33:23 ... SPT=25 DPT=25456
Ha escaneado, aparentemente, mis puertos 25454 al 25456 (que yo vea), desde el puerto 25 que es del smtp. ¿Que rayos intentan?
[**] (portscan) TCP Portsweep [**] 12/23-21:33:19.431774 81.??.??.251 -> 200.??.??.10 RAW TTL:0 TOS:0x0 ID:0 IpLen:20 DgmLen:165 DF 50 72 69 6F 72 69 74 79 20 43 6F 75 6E 74 3A 20 Priority Count: 35 0A 43 6F 6E 6E 65 63 74 69 6F 6E 20 43 6F 75 5.Connection Cou 6E 74 3A 20 31 30 0A 49 50 20 43 6F 75 6E 74 3A nt: 10.IP Count: 20 31 30 0A 53 63 61 6E 6E 65 64 20 49 50 20 52 10.Scanned IP R 61 6E 67 65 3A 20 32 30 30 2E 35 35 2E 31 34 33 ange: 200.??.?? 2E 31 30 3A 38 31 2E 34 31 2E 32 30 30 2E 32 35 .10:81.??.??.25 31 0A 50 6F 72 74 2F 50 72 6F 74 6F 20 43 6F 75 1.Port/Proto Cou 6E 74 3A 20 39 0A 50 6F 72 74 2F 50 72 6F 74 6F nt: 9.Port/Proto 20 52 61 6E 67 65 3A 20 32 35 3A 32 38 38 39 32 Range: 25:28892 0A .
De todas formas, el log del snort es raro. Mi IP local era 81.??.??.251, y el log del snort dice "81.??.??.251 -> 200.??.??.10", como si fuera mi IP la que estuviera haciendo el scan. Pero eso no coincide con lo que dice el del firewall, y del cual me fio más:
SRC=200.??.?.10 DST=81.??.??.251
claro que coinciden: se te fijas bien en el registro del cortafuegos veras que tambien hay los parámetros:
"PROTO=TCP SPT=25 DPT=25455 "
o sea... se juntamos todo, tendremos:
PROTO=TCP SRC=200.??.?.10 SPT=25 DST=81.??.??.251 DPT=25455
Claro, desde el puerto 25 de la maquina remota está intentando entrar a mi puerto 25455, y el cortafuegos lo bloquea; y lo intenta en tres puertos correlativos. En cambio el snort pone:
81.?..?251 -> 200.?.?.10
que parece significar que es mi IP la que está escaneando a la remota, según la dirección de la flecha, cuando es al revés.
fijando en los flags "ACK RST " que tiene el packete podria considerar que "talvez" este sea mas una respuesta de la maquina de el a la vuestra !!!!
Si, lo pensé.
o sea, el paquete se origino en vuestra maquina en los puertos 25455, llego a la maquina de destino en el puerto 25 y este estaba te contestando con un "ACK RST" (puerto cerrado/cortafuegos/servicio abajo)
Pero vamos a ver, si es una respuesta a un intento de conexión mia, mi cortafuegos lo sabe, y tiene abierto el puerto de entrada alto para ese intento de conexión. La máquina remota está respondiendo en un puerto distinto del que el que mi maquina le mantiene abierto.
Lo único que se me ocurre es que esté reseteando la conexión fuera de plazo.
Son dos piezas distintas de software las que reportan un problema, el cortafuegos y el snort.
además, caso no fuera lo que menciono arriba, tendrías malo configurado vuestro cortafuegos, ya que estaría dejando entrar paquetes a puertos que estan cerrados y estes están llegando hasta el IDS... la idea es que llegue al IDS, solamente los paquetes que son validos, los demás, deben de ser bloqueados por el cortafuegos (DROP, RESET) del contrario, estaria procesando mucha basura...
No, el cortafuegos está bien, el snort puede ver más allá, ya lo he comprobado otras veces. Se ve muy bien si intento hacerme un mapeo desde otra máquina, el cortafuegos lo detiene, pero el snort se da cuenta.
Y aparte, si fuera yo el que estuviera escaneando, se supone que el
snort
no diría nada, ¿no?
esto depende de como lo configuraste... existe unos parámetros $EXTERNAL_NET y $HOME_NET donde vosotros especifica cuales son vuestras redes... se lo hace la reversa o se dejas el $HOME_NET en blanco, se considera vuestra red interna como peligrosas. ;-(
var HOME_NET $ppp0_ADDRESS var EXTERNAL_NET $ppp0_ADDRESS
Si, hay un error. Y lo gracioso es que eso ya lo corregí en tiempos :-(
Pero no estoy seguro del efecto de ese error, probablemente ninguno. Lo he cambiado a:
var HOME_NET $eth0_ADDRESS
Porque eso me precuparía más todavía, que yo estuviera escaneando, significaría un agujero.
mmm.. tal vez lo que tengas es una configuracion de seguridad muy altas/paranoica !!!!
No... el snort está casi por defecto. Lo unico que le he cambiado es a donde manda los logs, que para experimentar lo puse al mysql, y es una lata para descifrar.
- -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76
iD8DBQFDr+JwtTMYHG2NR9URAmR/AJ9XIWTozMlY64bvuPhtLdjfyiXUmgCfYsMd epO4Etf+1d6I6tIQhOVyRbk= =4zbL -----END PGP SIGNATURE-----
---------------------------------------------------------------------------- ----
-- Para dar de baja la suscripcisn, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
Hola Carlos,
No entiendo nada de lo que están hablando.
Uds son hacker, yo quisiera ser un buen hacker.
http://web.usc.es/~elusive/OSS/hacker-howto_es.html -- Saludos, miguel
Hola Miguel,
Feliz Año Nuevo!!!.
Hermano no tengo Internet.
¿Podrías mandármelo atachado a mi correo personal?.
Un saludo,
Luis
----- Original Message -----
From: "miguel gmail"
Hola Carlos,
No entiendo nada de lo que están hablando.
Uds son hacker, yo quisiera ser un buen hacker.
http://web.usc.es/~elusive/OSS/hacker-howto_es.html -- Saludos, miguel -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2005-12-27 a las 13:24 -0500, luis escribió:
No entiendo nada de lo que están hablando.
Uds son hacker, yo quisiera ser un buen hacker.
No tanto. X-) Por cierto, cuando respondas a un correo, y sobre todo si es largo y solo pones un par de frases, borra el contenido del correo anterior, que en este caso son 10 KB que no vienen al caso. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFDtZu8tTMYHG2NR9URAtQLAJwLZW37SUxzcWnzyMo4SgDkMaVEiQCeMy9H VPzH5K0HrEZgHQT3iY3w9XA= =AmOy -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2005-12-26 a las 13:30 +0100, escribí:
esto depende de como lo configuraste... existe unos parámetros $EXTERNAL_NET y $HOME_NET donde vosotros especifica cuales son vuestras redes... se lo hace la reversa o se dejas el $HOME_NET en blanco, se considera vuestra red interna como peligrosas. ;-(
var HOME_NET $ppp0_ADDRESS var EXTERNAL_NET $ppp0_ADDRESS
Si, hay un error. Y lo gracioso es que eso ya lo corregí en tiempos :-(
En efecto, se reescribe automáticamente. Depende de esta linea en "/etc/sysconfig/snort": SNORT_AUTO="no" Si está puesto en "yes", entonces lo reescribe, y para mi que lo hace con una lógica equivocada. - -- Saludos Carlos Robinson -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFDsZdstTMYHG2NR9URAjdFAKCBih7fOco/6DTgggLX15Yyu4BbQgCeOwl6 aETpWaRw5M5iM18SSwJ8OfM= =lNOk -----END PGP SIGNATURE-----
participants (6)
-
Carlos E. R.
-
Hugo Sandoval
-
luis
-
luise
-
miguel gmail
-
Victor Hugo dos Santos