ya, ya.. tiro la toalla...

pata_de_jaguar

pata_de_jaguar

Lanero Reconocido
29 Feb 2004
2,337
Fijense que me acaban de Cambiar de ISP y tremendos problemas me han causado, como puse en un post anterior, he recibido unos 50 intentos de intrusion por minuto. como anexo en un log. No es un virus(aunque me han instalado algunos), no es un troyano, no es un spyware, por la Naturaleza de la Intrusion supongo que es un rootkit.
les dire que hace(al menos lo que he visto que haga).
- Falsea los programa que autorizaste el acceso a internet: por ejemplo autorize la ejecucion de emule.exe, se copia como tal y trata de ejecutarse con el mismo puerto que el emule. ya me ha falseado el emule, el tptest, el SQLYog, el apache, el Mysql, el svchost(o lo ha modificado), el taskmngr de xp, el messenger, el Iexplorer, el Firefox, el sunbird, etc, etc.
- Instala virus y troyanos: incluso algunos indetectables para mi antivirus como los que anexo(renombrelo a solo .zip, no es activo hasta que lo ejecutes).
-evita le ejecucion de herramientas. crear errores en en tesseract, hexeditor, ollydbg, rootkitrevealer, myvitalagent, atacker, en herramientas de seguridad, etc, etc, etc.
- Trabaja en un rango de Ip muy grande la mayoria de los tipo 200.95.x.x(prodigy infitum segun dice el whois, tambien pueder ser posibles maquinas infectadas), tratando de acceder mayormente en los puertos 135 y 445, aunque tambien lo hace en el 448, 138, 1080, 80, 4662, etc, etc, etc. segun el firewall. con el constante ataque y envio de paquetes se satura mi ancho de banda. tambien usa el svchost y sus servicios dependientes.
He recibido taques de spoofing de ARP, HTTP, phising. Uta :muerto: :muerto: :muerto: :muerto:
ya no se que chingado mas decir.
Mi sistema lo tengo full, bien actualizadito bien configuradito, bien parcheadito, etc. tengo buenas costumbres de navegacion y ya me he salvado de los virus/troyanos mas perros y esta si que me salio buena...
pienso que el mismo ISP esta infectado por lo que me voy a quejar mañana.
y despues dicen "Por que odias a mi hermoso windows", jijosdesu...
No queda otra Solucion mas que la de formatear completamente.
lo peor de todo es la gran cantidad de info que voy a perder(pues ya nada es fiable) y la horas que me voy a quedar sin red, gracias a dios que tengo linux :)
que piensan de mi problema?
 

Archivos adjuntos

  • logFW.zip
    16.8 KB · Visitas: 189
  • MSMSN7.zip
    138.5 KB · Visitas: 180
Hola pata de jaguar......vos andas con la toalla lista HUH que berraco :p

Mira que yo les conte eso a algunos de LANeros en cierto tema pero no me creen ,hay un proveedor de Internet en colombia que utiliza cosas como esta no se si como victima o como agresor,pero que lo hace lo hace, yo pille esto en mi Linux y me fui iracundo para hablar con los de mi ISP y pues hable directamente con el putisboy hypersupermegaingeniero y de una manera misteriosa casi fantasmagorica esos "ataques" cesaron,desafortunadamente a 2 amigos mios les vi el mismo problema pero yo ya me lei el pringao howto :) entonces ni modo.

Afortunadamente uso Linux y esos "ataques" son paños de aguas tibias....otra cosa el firefox es mejor que el Iexplorer,pero en mi humilde opinion el opera se lo lleva por los cuernos en seguridad.
 
Están diciendo que sin hacer absolutamente nada en un sistema totalmente parchado, se están infectando? :S

Yo lo que hago por lo general cuando voy a reinstalar un equipo windows es lo siguiente:

- Si no tengo otro equipo entre el internet y el que voy a instalar, configuro mi adsl para quitarle el default server, y todas las conexiones incoming que entren, se queden en el adsl y nunca lleguen al equipo, de esta forma, puedo actualizar el windows con windowsupdate sin tener ningún peligro.

Si estoy detrás de un equipo ya parchado, pues simplemente nateo el internet y actualizo... luego de eso el equipo queda listo para conectarse a internet... El mio vive 100% conectado a internet pero tengo ahi un firewall que medio protege... Lo bueno es que nunca le ha pasado nada como lo que ustedes comentan =) será suerte?
 
Si dices que puedes estar tan infectado no voy a ver los zip que pusiste:p:p

Como dice Nobunaga, el problema puede venir con el proveedor o de alguna falla de seguridad en el proveedor que alguien esté explotando.

Amigo pata_de_jaguar, por si algún día uso linux de nuevo: ¿Hay alguna manera de monitorear los intentos de intrusión como en el win?

Te pregunto porque veo entre 50 y 100 intentos de intrusión (escaneos de puertos) que me muestra el firewall durante el día (sin contar la noche). Por lo que me decían pueden ser escaneos del proveedor inclusive, que estén monitoreando algo de rutina, pero no creo que todos. Afortunadamente no he visto nada tratando de salir, excepto de algunos programas, y estos los bloqueo o los elimino. Ah, y se ven sin necesidad de tener un navegador encendido.

¿Servirá dejar una máquina como firewall con Linux instalado? Al menos yo tengo unos CDs de linux exclusivamente dedicados a firewall, no los he probado, pero recomendaban dejar un equipo de esa manera.

Suerte.
 
Un escaneo de puertos es normal en mi opinión.... Yo en mi firewall veo muchos y provienen del servidor de IRC donde tenemos nuestro canal de chat. Lo hacen para asegurar de que el PC de uno no valla a ser un openproxy o un openrelay en alguna parte.... todo por seguridad.
 
no, que va... despues de unas horas de trabajo(toda la noche) he resintalado el winxp desde cero, aunque a medias, el inche firewall, tan canijo que se puso que ni a internet entro :p :p :p.
ya me estableci en fedora totalmente... en verdad, no saben que molesto es... pues yo les voy a mentar su jefa a mi ISP... lo raro que mayormente las intrusiones se dirijian al puerto 135 y 445(que trabajan varios troyanos), y lo del virus anexado no me lo detecto el AVG(aunque si otros 10) y viendo su actividad sospechosa lo elimine, pero me dio la curiosidad de que era, asi que le pase un scan online(de esos de 10 Antivirus a la Vez) y solo tres Antivirus me lo detectaron, entre ellos el F-Prot y ClamWin... ahorita que me acuerdo, perdi como 200 Links a paginas muy buenas, de mis favoritos de Firefox.
La verdad me ha dejado preocupado :( :( , nunca me habian pasado tan feo otras veces... y por la cantidad de intentos me preocupa mas...
Yo no regreso a Xp...
 
krawek dijo:
Recomiendo la lectura de este articulo:

http://www.usatoday.com/money/industries/technology/2004-11-29-honeypot_x.htm
Haz clic para expandir...
gracias por el Link krawek, por ahora estoy buscando como configurar mi Squid, mis PCs salen con NAT, y ya he tratado de montar un Honeypot, pero todavia no le entiendo mucho, por ahora me la paso con fedora Core 3, con problemas con samba, pero Terminare por configurarlo, asi que no me preocupan mucho los ataques. Estuve tambien revisando con nmap, y me di cuenta que el ISP me quiere achacar la IP de uno de sus servers, pero todavia no se porque los puertos 135 y 445, pues el IP que me quiere achacar es su servidor POP3, SMTP y DNS. vere que mas hago.... Hay algun manual de Honeypot es español, para que me ahorre la flojera de traducir :p :p :p...
 
Ole, perdon por la ignorancia, pero exactametne que hace el NAT? y como se puede configurar eso?

Por otra parte, yo he vivido feliz con mi herramientica, que aunque a muchos les parece ***************a, no deja entrar ni los moscos....PC CILLIN y su firewallcito que bien efectivo si es......eso si, bota registros de escaneo de puertos a lo perro, pero con el enmascaramiento de puertos, los jode, claro, muchos son del isp.
 
[Dn] KiKe dijo:
Ole, perdon por la ignorancia, pero exactametne que hace el NAT? y como se puede configurar eso?
Haz clic para expandir...
Network Adress Traslation. Deja comunicar tus PC de tu RED como si fuera el server. preguntale al señor google.
No conozco ningun server para XP, mas que el Lan suite 602. en linux se lo instalas facilmente y lo configuras con el Firestarter.
y por cierto depues de estar un poco mas tranquilo, me cheque el virus que anexe al post y el el Mytob.T variante del Mydoom. Gracias a Clam AV.... al principio crei que era un antivir poco eficiente(cuando lo cheque en sus primera versiones) pero ahora le doy un 10. Ahora valoro el chronomium en 100. OK. recomendado. thanks.
 

Los últimos mensajes

Los últimos temas

Arriba Pie
Atrás