Presunto ataque a mi red.

Imagen de mephistrockmetal
0 puntos

Como estan.

Espero puedan ayudarme. Les voy a contar todo, sin omitir detalles.

En estos dias, mi conexion a internet a bajado mucho, yo se que se puede deber al trafico y cosas por el estilo. Pero se me hizo raro que esto durara mas de 1 semana, y hoy confirme las sospechas que tenia.

Uso el wireshark para observar informacion que me llega, ya que estoy cursando un diplomado en redes LAN/WAN. Bueno, el caso es que lo puse a capturar los paquetes que mi equipo recivia, y uno de ellos no me parecio nada comun:

SOURCE DESTINATION PROTOCOL INFO
2 0.227870 121.14.5.208 201.172.87.117 FTP Request: USER Administrator
3 0.227928 201.172.87.117 121.14.5.208 TCP ftp > 29162 [ACK] Seq=23 Ack=21 Win=46 Len=0 TSV=4728701 TSER=3558730109
4 0.228048 201.172.87.117 121.14.5.208 FTP Response: 331 Please specify the password.
5 0.457239 121.14.5.208 201.172.87.117 FTP Request: PASS Zorro
6 0.495202 201.172.87.117 121.14.5.208 TCP ftp > 29162 [ACK] Seq=57 Ack=34 Win=46 Len=0 TSV=4728768 TSER=3558730338
7 3.694638 201.172.87.117 121.14.5.208 FTP Response: 530 Login incorrect.

Y siguen y siguen las peticiones de User/Pass.
Entiendo que la direccion destino trato de realizar una conexion ftp a mi equipo ( uso vsftpd ), pero esta fue rechazada por no poder autentificarse.

EL problema aqui, es que cuando queria checar los logs de Samba ( tambien instalado ) me aparecen archivos que no se ni por que se crearon, tales como;
log.irene
log.lupita
log.laptop
log.juanrdz

donde la mayoria tienen esta informacion:
[2008/X/X X:, 0] lib/util_sock.c:read_data(534)
read_data: read failure for 4 bytes to client 201.172.246.157. Error = Connection reset by peer
make_connection: refusing to connect with no session setup
Failed to parse negTokenTarg at offset 21

Y para rematar, checando el log de vsftpd me encuentro con muchos de estos:

Sun Jun 29 18:08:51 2008 [pid 10357] [Administrator] FAIL LOGIN: Client "59.108.227.190" ( la ip cambia repetidamente )
Sun Jun 29 18:08:53 2008 [pid 10432] CONNECT: Client "59.108.227.190"

Y me aparecen conexion exitosas solo cuando yo las e hecho desde otros equipos.
Cuento con esta configuracion en el equipo ya que muchas veces necesito hacer unos pequeños cambios, o retirar archivos desde mi equipo cuando estoy fuera por medio de internet.

VSFTPD ( con un usuario sin privilegios mas que para copiar y subir archivos )
DDCLIENT
Habilitado escritorio remoto ( con contraseña claro )
Firestarter ( deshabilitado, ya que Linux me inspira una tranquilidad muy grande )

Mi equipo se salta al cablemodem ya que deshabilite NAT para evitar problemas de conexion. Aunque ya estoy viendo la psobilidad de volverme paranoico y habilitar nuevamente NAT, quedarme detras del CableModem con firewall y habilitar Firestarter.

A lo que voy:

Yo se que estoy siendo atacado ( por favor, corriganme si es necesario )
Yo se que ningun Sistema es 100% seguro, y necesito tomar precauciones.
Lo que no entiendo es el log de samba que puse arriba.

Y otra cosa tambien, el cablemodem cuenta con wireless, que deshabilite despues de un tiempo, ya que mi equipo esta por utp. Solo lo habilito cuando tengo visitas y ocupan la red Wifi, que igualmente esta protegida por WPA y aparte filtrado de MAC y sin transmision SSID ( ya parezco paranoico ), que yo se que los 3 pueden ser descifrado, clonado y capturado.
Mi vecino tambien es ISC, y estamos peleados a muerte, de ahi lo que sigue:
Existe algun software para Ubuntu que pueda remotamente localizar un sniffer? Ya google, y se a lo que me atengo.

Bueno, es todo, espero no se aburran con mi pequeño problema y me puedan ayudar.

Gracias. Saludos desde Mexico.

Imagen de leptom
+1
0
-1

Al estar conectado a Internet con un (cable)modem tu ordenador está expuesto directamente a todos los ataques. Leyéndolo por encima una sola vez, lo que me parece que ha pasado es que está recibiendo ataques continuamente. Han intentado acceder a tu servidor ftp, samba y todos los puertos que el atacante o los atacantes han visto abiertos.

Tengo varios servidores y eso es el pan de cada día y el día menos pensado acertarán la contraseña por fuerza bruta (la voz de la experiencia) e intentaran usar tu máquina para otros fines (por ej.crackear otros servidores).

Lo que puedes hacer es poner el firewall del modem que comentas, no haría falta que pusieras el firestarter teniendo el otro(aunque bueno depende de tu paranoia).

Te recomiendo que mires la aplicación logwatch y que te envíe un email cada día para que revises los logs de manera cómoda(te sorprenderás la de "intentos" que recibes).

-----

No tengo blog pero tengo dominio ;)

+1
0
-1
Imagen de mephistrockmetal
+1
0
-1

gracias.

Segire con el cablemodem sin NAT, pero ahora con firestarter activado.

aun asi, voy a dar de baja mi dominio , hago otro y reinicio el cablemodem para otra IP distinta. Yo creo que asi me los quito de encima.

Me impresiono la cantidad de bloqueos que genera firestarter, la verdad si trabaja bien.

Aun asi, que bueno que estoy bajo linux, bajo windows no se si hubiera pasado algo, ya que no soy fan de firewalls en esta plataforma, aunque ahora lo voy a tener que activar ( tengo los 2 instalados y funcionando ).

Fijate que cosas asi no te las esperas, ya que este pedo que monte es casero ( de algun lado se aprende ). Aun asi es bueno tener experiencia, y que mejor que me pase aqui en la casa y no en la oficina. Aunque tambien abria que checar...

De casualidad no sabes que significa el el log de Samba? No lo entiendo del todo bien.

De cualquier modo, gracias por tu comentario.

Saludos desde Mex. Mty

+1
0
-1

Ing. Alberto Treviño

Imagen de leptom
+1
0
-1

He buscado un poco lo de samba pero no he visto nada, lo puedes preguntar en la lista o el canal de freenode de samba. Allí quizá te lo puedan resolver.

-----

No tengo blog pero tengo dominio ;)

+1
0
-1
Imagen de mephistrockmetal
+1
0
-1

Me duele lo que voy a escribir.

Ya cheque las Ip de donde vienen los ataques. Todos son de Intercable ( Mexico ), todas estan detras del mismo router ( de Intercable ), y ... todas son maquinas con Windows.

Todas infectadas, con puerto abiertos a los cuales puedes acceder por telnet.
Muchas de ellas con anuncios despues de la conexion como " BlackJack welcomes you" "3rf|as", "reptile bot" y otros tantos.

Al parecer no son ataques intencionados, pero al final son ataques.

lastima, cada vez pierdo un poco mas la esperanza en Windows. Espero esto cambie algun dia, ya que me sigue gustando usarlo.

Todo fue, hasta cierto punto, falsa alarma.

+1
0
-1

Ing. Alberto Treviño

Imagen de javierrivera
+1
0
-1

El dia a dia.

Como te han dicho esto es el día a día de internet. Cambiar de IP o dominio no te servirá de mucho, la gran mayoría de los ataques no son "personas", sino bots alojados en maquinas comprometidas (como has descubierto), que te localizaran otra vez en cuestión de horas. Un firewall tampoco te librara de todo, ya que tendrías que abrir el puerto ftp, al menos te ayudaría con smb. Lo mejor que puedes hacer es poner contraseñas lo mas fuertes posibles.

Los logs de samba son normales. Samba crea un log de ese estilo cada vez que te conectas o se intenta conectar a ti una maquina. En realidad lo raro es que no tengas una docena de logs del tipo log.x.x.x.x de ips varias casi todas con solo ese mensaje, resultado de intentos fallidos de conectarse a tu maquina.

Javier.

+1
0
-1